From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vserge@menatepspb.msk.ru>
Date: Tue, 19 Feb 2002 11:31:59 +0300
From: "Volkov Serge" <vserge@menatepspb.msk.ru>
To: devel@altlinux.ru
Subject: Re: [devel] Fw: Re: CHROOT with OpenLDAP
Message-Id: <20020219113159.5bd877e6.vserge@menatepspb.msk.ru>
In-Reply-To: <20020219074617.GD27155@ldv.office.alt-linux.org>
References: <20020219094757.4f754220.vserge@menatepspb.msk.ru>
	<20020219074617.GD27155@ldv.office.alt-linux.org>
X-Mailer: Sylpheed version 0.7.1 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020219113159.5bd877e6.vserge@menatepspb.msk.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Tue, 19 Feb 2002 10:46:17 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

> On Tue, Feb 19, 2002 at 09:47:57AM +0300, Volkov Serge wrote:
> > Дима  как ты смотришь на такую реализацию для работы утилит 
> > 
> > Ниже ответ Координатора проекта OpenLDAP.
> > 
> > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> > как ты считаешь имеет смысл такая реализация
> 
> А всегда ли эти утилиты запускаются рутом?
> Надо иметь в виду, что chroot(2) - это привилегированный вызов.

Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???
> 
> > At 04:19 AM 2002-02-18, Volkov Serge wrote:
> > >I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
> > 
> > If anything, the tools could be modified to accept a
> > command line flag to chroot(3) after opening files
> > specified on the command line.  Currently though, you
> 
> Это разумно в любом случае.
> 
> > can just execute the tool using chroot(1) w/ appropriate
> > paths to files (as found in the new root).
> 
> 
> Regards,
> 	Dmitry
> 
> +-------------------------------------------------------------------------+
> Dmitry V. Levin     mailto://ldv@alt-linux.org
> ALT Linux Team      http://www.altlinux.com/
> Fandra Project      http://www.fandra.org/
> +-------------------------------------------------------------------------+
> UNIX is user friendly. It's just very selective about who its friends are.
> 


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator