[Platform50-dev] Q: Как_Правильно:Ходить_в_LDAP?

Sergey Lebedev lsv на altlinux.ru
Пн Апр 20 15:16:25 MSD 2009 

В Пнд, 20/04/2009 в 15:02 +0400, Alexey I. Froloff пишет:
> Я что-то не нашёл нигде никакой информации в нормальном виде,
> спрошу тут.

> Q1. Как ходить в ldap непривелигерованным пользователем
> (proxyuser?)?  Как узнать binddn, пароль и uri?

anonymous. Если есть объекты, доступ к которым строго ограничен, как
например kerberos поддерево, то необходимо для таких объектов создавать
отдельного пользователя и придумывать место и способ хранения его
пароля. 

> Q2. Каким образом можно использовать SSL/TLS для обращения к ldap
> и нужно ли это делать?

Зависит от ldap-клиента. Для nss это tls в nss_ldap.conf. По умолчанию
будет включен. Для других ldap-клиентов, необходимо настраивать доступ
по tls, смотри документацию к своему клиенту.


> Q3. Какую аутентификацию использовать (login, plain, sasl, что-то
> ещё)?

Либо anonymous либо bind под пользователем, который уже есть в
ldap-дереве.

> Q4. Как узнать basedn нашего домена?

basedn = host_2_dn(domain_name)
mydomain.com => dc=mydomain,dc=com

> Q5. В каких ou лежат юзера (People?) и группы (Groups?)?

ou=People,dc=domain
ou=Group,dc=domain

> Q6. Какие фильтры использовать для пользователей
> (objectClass=posixAccount ?) и групп (objectClass=posixGroup ?)?
> Как фильтровать "подизабленных" пользователей?
posixAccount и posixGroup 

Вот тебе твой же код из alterator-ldap-users

#disable
            pswd="$(ldap-getent passwd "$in_name" userpassword)"
            if test_bool "$in_is_active"; then
                [ -n "$pswd" -a -z "${pswd##!!*}" ] &&
                    printf '%s\n' "${pswd##!!}" | ldap-passwd "$in_name" >/dev/null
            else
                [ -z "$pswd" -o -n "${pswd##!!*}" ] &&
                    printf '!!%s\n' "${pswd}" | ldap-passwd "$in_name" >/dev/null
            fi

> Спасибо.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: Эта часть сообщения подписана цифровой подписью
Url     : <http://lists.altlinux.org/pipermail/platform50-dev/attachments/20090420/19abe4ba/attachment.bin>

Подробная информация о списке рассылки platform50-dev