[Sysadmins] LDAP+nss_ldap+nscd

[Vasyl Tereshko]

Ivan Fedorov пишет:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>   
>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>> простые операции можно было анонимно, тогда нет нужды вообще использовать
>>> rootbinddn.
>>>       
>> Ага, но тогда я должен давать для anonymous например доступ к такой
>> чувствительной информации, как вхождение пользователя в те или иные группы,
>> что совсем неправильно.
>>     
> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
> точно.
>   
Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь 
инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят 
знать всё, что им не положено.
А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы 
только члены этой группы могли знать кто ещё, кроме него самого имеет 
доступ к ресурсу.

PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже 
веселая задача. Это уж в сторону PKI тогда нужно смотреть...

-- 
Толми