[Sysadmins] LDAP+nss_ldap+nscd

Vladimir V. Kamarzin =?iso-8859-1?q?vvk_=CE=C1_vvk=2Epp=2Eru?=
Вт Июн 17 09:26:00 MSD 2008 

>>>>> On 16 Jun 2008 at 19:45 "VT" == Vasyl Tereshko writes:

VT> Добрый день,
VT> Люди добрые, подскажите, кто может, а то совсем мозги закипают.
VT> Есть OpenLDAP и там заведены юзеровские эккаунты, настроен на серверах
VT> nss_ldap и там всё работает.
VT> А теперь задача - поднять это на клиентской машине, где юзер
VT> потенциально может получить доступ рута и в nss_ldap.conf
VT> bindrootdn=<bla-bla> и пароль в nss_ldap.secret положить нельзя.
VT> А ещё неплохо бы, чтобы там же работал nscd.
VT> У меня максимум получается, что от рута id <LDAP user> работает, а от
VT> обычного - нет. Кто-то может поделиться работающими конфигами ?

Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
простые операции можно было анонимно, тогда нет нужды вообще использовать
rootbinddn.

access to dn.base=""
        by * read
access to dn.base="cn=Subschema"
        by * read

access to dn.subtree=cn=Monitor
        by * read

access to attrs=userPassword,userPKCS12,sambaPwdLastSet,sambaPwdMustChange,sambaPwdCanChange,shadowMax,shadowExpire
        by dn="cn=ldapadmin,dc=distance,dc=ru" write
        by anonymous auth
        by self write
        by * none
access to attrs=shadowLastChange
        by self write
        by * read

# Deny access to imap/fax/kerberos admin passwords stored
# in ldap tree
access to attrs=goImapPassword
        by dn="cn=ldapadmin,dc=distance,dc=ru" write
        by * none
access to attrs=goKrbPassword
        by dn="cn=ldapadmin,dc=distance,dc=ru" write
        by * none
access to attrs=goFaxPassword
        by dn="cn=ldapadmin,dc=distance,dc=ru" write
        by * none

# Let servers write last user attribute
access to attrs=gotoLastUser
        by * write


access to attrs=sambaLmPassword,sambaNtPassword
        by dn="cn=ldapadmin,dc=distance,dc=ru" write
        by dn="cn=smbpasswd smbpasswd,ou=people,dc=distance,dc=ru" read
        by anonymous auth
        by self write
        by * none

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Подробная информация о списке рассылки Sysadmins