[sisyphus] LDAP PDC ( вот такая моя печаль )

[Denis S. Filimonov]

6 Декабрь 2002 11:39, Peter V. Saveliev написал:
> ...
>
> Поставил задачу: централизованно авторизовать пользователей на k
> unixовых машинах. После раздумий на тему nis и ldap выбрал ldap по
> ряду причин. Что есть (если интересно, могу расписать подробнее): -
> passwd через ldap
>  - shadow через ldap
>  - hosts через то же (? см. ниже)
> + адресная книга для мылеров и т.д.
>
> Этакий PDC для unix-домена.
>
> Теперь вопросы:
>
> - почему из всех методов шифрования в ShadowAccount годится только
> {CRYPT}?
>
> - почему он так непохож на содержимое shadow?
в /etc/ldap.conf добавить:
pam_password md5

а в /etc/openldap/slapd.conf:
password-hash {CRYPT}
password-crypt-salt-format "$1$%.8s"

пароли будут хэшироваться по md5, в принципе, наверно, можно и в 
blowfish переделать

>
> Предостер.:
>
> nsswitch.conf:
>  ...
>  hosts: ldap files dns
а нужен ли вам /etc/hosts под ldap? чем dns не устраивает, он, наверно, 
и пошустрее будет.

>
> + Может ли кто надоумить на тему BDC на LDAP, на тему, если PDC
> накроется?
openldap умеет реплицироваться, но как сделать чтобы в случае 
недоступности главного сервера все пошли на реплику не знаю... похоже 
что никак