[Platform50-dev] Q: Как_Правильно:Ходить_в_LDAP?

[Alexey I. Froloff]

* Sergey Lebedev <lsv@> [090420 15:18]:
> > Q1. Как ходить в ldap непривелигерованным пользователем
> > (proxyuser?)?  Как узнать binddn, пароль и uri?
> anonymous. Если есть объекты, доступ к которым строго ограничен, как
> например kerberos поддерево, то необходимо для таких объектов создавать
> отдельного пользователя и придумывать место и способ хранения его
> пароля. 
Был же какой-то proxyuser?  У нас онанимус может высосать всю
базу пользователей?

> > Q2. Каким образом можно использовать SSL/TLS для обращения к ldap
> > и нужно ли это делать?
> Зависит от ldap-клиента. Для nss это tls в nss_ldap.conf. По умолчанию
> будет включен. Для других ldap-клиентов, необходимо настраивать доступ
> по tls, смотри документацию к своему клиенту.
Какая политика партии на счёт необходимости использования
SSL/TLS?

> > Q3. Какую аутентификацию использовать (login, plain, sasl, что-то
> > ещё)?
> Либо anonymous либо bind под пользователем, который уже есть в
> ldap-дереве.
Нет.  Какой механизм?

> > Q4. Как узнать basedn нашего домена?
> basedn = host_2_dn(domain_name)
> mydomain.com => dc=mydomain,dc=com
Откуда берётся host_2_dn()?

> > Q6. Какие фильтры использовать для пользователей
> > (objectClass=posixAccount ?) и групп (objectClass=posixGroup ?)?
> > Как фильтровать "подизабленных" пользователей?
> #disable
>             pswd="$(ldap-getent passwd "$in_name" userpassword)"
Это замечательно, только нужен именно _фильтр_.  А поле
userpassword онанимус (см. выше) читать не может.  Иначе
подизабленным юзера почта будет доставляться.

-- 
Regards,
Sir Raorn.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/platform50-dev/attachments/20090420/37ea6a46/attachment.bin>