On Tue, 6 Jan 2009 13:32:02 +0400
Денис Черносов wrote:

> Настраиваю Ldap по этой инструкции:
> http://www.altlinux.org/OpenLDAP
> 
> Всё понятно, кроме одного момента: даже с TLS не хочется подключаться
> к LDAP через какого-то прокси-юзера или разрешать всем анонимам читать
> пароли юзеров. В первом случае дыра в безопасности, связанная с
> хранением настроек прокси-юзера на каждой рабочей станции (которую
> могут банально унести и прочитать файл с другой системы). Во втором -
> дыра с доступом к OpenLDAP.

Раздел Секьюрити/Корректный ACL прочитали?
Там как раз есть ACL о том, чтобы позволить менять пароль пользователя
самому пользователю и админу, анонимам проходить аутентификацию и
запретить все остальные операции с полем userPassword.
Они указываются в конфигах сервера LDAP.