[Sysadmins] LDAP+nss_ldap+nscd

Vasyl Tereshko =?iso-8859-1?q?tolmi_=CE=C1_end=2Ekiev=2Eua?=
Пт Июн 20 18:31:00 MSD 2008


Vladimir V. Kamarzin пишет:
>>>>>> On 16 Jun 2008 at 19:45 "VT" == Vasyl Tereshko writes:
>>>>>>             
>
> VT> Добрый день,
> VT> Люди добрые, подскажите, кто может, а то совсем мозги закипают.
> VT> Есть OpenLDAP и там заведены юзеровские эккаунты, настроен на серверах
> VT> nss_ldap и там всё работает.
> VT> А теперь задача - поднять это на клиентской машине, где юзер
> VT> потенциально может получить доступ рута и в nss_ldap.conf
> VT> bindrootdn=<bla-bla> и пароль в nss_ldap.secret положить нельзя.
> VT> А ещё неплохо бы, чтобы там же работал nscd.
> VT> У меня максимум получается, что от рута id <LDAP user> работает, а от
> VT> обычного - нет. Кто-то может поделиться работающими конфигами ?
>
> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
> простые операции можно было анонимно, тогда нет нужды вообще использовать
> rootbinddn.
>   
Ага, но тогда я должен давать для anonymous например доступ к такой 
чувствительной информации, как вхождение пользователя в те или иные 
группы, что совсем неправильно.
Можно конечно не использовать bindrootdn, а просто binddn, и прописывать 
его для каждой клиентской станции отдельно, положив например его в 
ou=Computers, и потом прописать соответсвующие ACL, но это несколько 
увеличивает объём администрирования. Что-то ничего разумного в голову не 
приходит.
-- 
Толми



Подробная информация о списке рассылки Sysadmins