[Platform50-dev] Q: Как_Правильно:Ходить_в_LDAP?

Sergey Lebedev lsv на altlinux.ru
Пн Апр 20 20:59:29 MSD 2009 

В Пнд, 20/04/2009 в 15:29 +0400, Alexey I. Froloff пишет:
> * Sergey Lebedev <lsv@> [090420 15:18]:
> > > Q1. Как ходить в ldap непривелигерованным пользователем
> > > (proxyuser?)?  Как узнать binddn, пароль и uri?
> > anonymous. Если есть объекты, доступ к которым строго ограничен, как
> > например kerberos поддерево, то необходимо для таких объектов создавать
> > отдельного пользователя и придумывать место и способ хранения его
> > пароля. 
> Был же какой-то proxyuser?  У нас онанимус может высосать всю
> базу пользователей?

Всю за исключением
attrs=userPassword,sambaLMPassword,sambaNTPassword
и
dn.subtree="ou=kdcroot,dc=stend,dc=altlinux,dc=ru"

> > > Q2. Каким образом можно использовать SSL/TLS для обращения к ldap
> > > и нужно ли это делать?
> > Зависит от ldap-клиента. Для nss это tls в nss_ldap.conf. По умолчанию
> > будет включен. Для других ldap-клиентов, необходимо настраивать доступ
> > по tls, смотри документацию к своему клиенту.
> Какая политика партии на счёт необходимости использования
> SSL/TLS?

tls использовать необходимо.

> > > Q3. Какую аутентификацию использовать (login, plain, sasl, что-то
> > > ещё)?
> > Либо anonymous либо bind под пользователем, который уже есть в
> > ldap-дереве.
> Нет.  Какой механизм?

simple authentication 

> > > Q4. Как узнать basedn нашего домена?
> > basedn = host_2_dn(domain_name)
> > mydomain.com => dc=mydomain,dc=com
> Откуда берётся host_2_dn()?

Моя функция host_2_dn живет в ldap-user-tools/hooks/ldap-domain.

> > > Q6. Какие фильтры использовать для пользователей
> > > (objectClass=posixAccount ?) и групп (objectClass=posixGroup ?)?
> > > Как фильтровать "подизабленных" пользователей?
> > #disable
> >             pswd="$(ldap-getent passwd "$in_name" userpassword)"
> Это замечательно, только нужен именно _фильтр_.  А поле
> userpassword онанимус (см. выше) читать не может.  Иначе
> подизабленным юзера почта будет доставляться.

фильтровать по  pwdAccountLockedTime=000001010000Z (если пользователь
является обладателем такого атрибута с данным значением, то он считается
заблокированным).


----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: Эта часть сообщения подписана цифровой подписью
Url     : <http://lists.altlinux.org/pipermail/platform50-dev/attachments/20090420/2cb4e597/attachment-0001.bin>

Подробная информация о списке рассылки platform50-dev