[Comm] LDAP и PAM: вопрос для повышения образованности
Timur Batyrshin
=?iso-8859-1?q?batyrshin_=CE=C1_ieml=2Eru?=
Вт Янв 6 13:13:08 MSK 2009
On Tue, 6 Jan 2009 13:32:02 +0400
Денис Черносов wrote:
> Настраиваю Ldap по этой инструкции:
> http://www.altlinux.org/OpenLDAP
>
> Всё понятно, кроме одного момента: даже с TLS не хочется подключаться
> к LDAP через какого-то прокси-юзера или разрешать всем анонимам читать
> пароли юзеров. В первом случае дыра в безопасности, связанная с
> хранением настроек прокси-юзера на каждой рабочей станции (которую
> могут банально унести и прочитать файл с другой системы). Во втором -
> дыра с доступом к OpenLDAP.
Раздел Секьюрити/Корректный ACL прочитали?
Там как раз есть ACL о том, чтобы позволить менять пароль пользователя
самому пользователю и админу, анонимам проходить аутентификацию и
запретить все остальные операции с полем userPassword.
Они указываются в конфигах сервера LDAP.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/community/attachments/20090106/6b4a9ccb/attachment.bin>
Подробная информация о списке рассылки community