* [Sysadmins] Пароль в /etc/nss_ldap.secret
@ 2007-02-07 10:13 Dmitriy L. Kruglikov
2007-02-12 7:30 ` Avramenko Andrew
2007-02-12 11:17 ` Dmitry Lebkov
0 siblings, 2 replies; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-07 10:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток.
В /etc/nss_ldap.secret и /etc/pam_ldap.secret
хранится пароль для rootbinddn в открытом виде.
Пробовал написать туда
{SSHA}ХХХ
не работает, хотя вместо ХХХ то же самое,
что и в /etc/openldap/slapd.conf в качестве пароля для админа.
Не хотелось бы хранить пароль в открытом виде на рабочих станциях.
У кого-нибудь есть решения ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Куда вляпаешься, там твоя и судьба.
-- Н.Векшин
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-07 10:13 [Sysadmins] Пароль в /etc/nss_ldap.secret Dmitriy L. Kruglikov
@ 2007-02-12 7:30 ` Avramenko Andrew
2007-02-12 8:32 ` Dmitriy L. Kruglikov
2007-02-12 11:17 ` Dmitry Lebkov
1 sibling, 1 reply; 20+ messages in thread
From: Avramenko Andrew @ 2007-02-12 7:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
> Доброго времени суток.
>
> В /etc/nss_ldap.secret и /etc/pam_ldap.secret
> хранится пароль для rootbinddn в открытом виде.
> Пробовал написать туда
> {SSHA}ХХХ
> не работает, хотя вместо ХХХ то же самое,
> что и в /etc/openldap/slapd.conf в качестве пароля для админа.
>
> Не хотелось бы хранить пароль в открытом виде на рабочих станциях.
>
> У кого-нибудь есть решения ?
Дмитрий, а зачем на рабочих станциях рутовая учетка? У Вас туда кто-то
что-то пишет?
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 7:30 ` Avramenko Andrew
@ 2007-02-12 8:32 ` Dmitriy L. Kruglikov
2007-02-12 8:34 ` Anton Gorlov
2007-02-12 9:24 ` Avramenko Andrew
0 siblings, 2 replies; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 8:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Avramenko Andrew писал(а) в сообщении:
AA == Avramenko Andrew
AA> Дмитрий, а зачем на рабочих станциях рутовая учетка? У Вас туда кто-то
AA> что-то пишет?
Понятия не имею...
И она там не рутовая, а админская...
Думается мне, что нужна учетная запись, имеющая право,
как минимум, читать пароли из LDAP...
Поле: userPassword.
Но, имея возможность прочитать установленный пароль, дальше уже не проблема
войти в систему с этим паролем и поменять его себе (как минимум).
В любом случае, пароль для доступа к каталогу для получения пароля пользователя
хранится в открытом виде.
Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
Не зависимо от того, рутовый(админский) он или нет.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Идет по дороге студент, а навстречу ему мужик, тоже пьяный
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:32 ` Dmitriy L. Kruglikov
@ 2007-02-12 8:34 ` Anton Gorlov
2007-02-12 8:44 ` Dmitriy L. Kruglikov
2007-02-12 9:24 ` Avramenko Andrew
1 sibling, 1 reply; 20+ messages in thread
From: Anton Gorlov @ 2007-02-12 8:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
>
> Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
> Не зависимо от того, рутовый(админский) он или нет.
-r-------- 1 root root 11 Июл 7 2005 ldap.secret
Файл может прчоитаь тлоько рут.
Это под мастером 2.4
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:34 ` Anton Gorlov
@ 2007-02-12 8:44 ` Dmitriy L. Kruglikov
2007-02-12 8:58 ` Anton Gorlov
0 siblings, 1 reply; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 8:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении:
AG == Anton Gorlov
AG> > Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
AG> > Не зависимо от того, рутовый(админский) он или нет.
AG>
AG> -r-------- 1 root root 11 Июл 7 2005 ldap.secret
AG> Файл может прчоитаь тлоько рут.
AG> Это под мастером 2.4
И более того...
Если у него права отличные от указанных, то вообще работать не будет.
Но, если эту рабочую машинку ребутнуть в режиме "спасения",
то фсе будет прочитано...
И я не уверен, что читающим буду я ;)
Нужна ли нам в системе такая дырочка, которую каждый пионэр
сможет разорвать на лоскутки ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Кто рассчитывает обеспечить себе здоровье, пребывая в лени, тот поступает так же глупо,
как и человек, думающий молчанием усовершенствовать свой голос.
-- Плутарх
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:44 ` Dmitriy L. Kruglikov
@ 2007-02-12 8:58 ` Anton Gorlov
2007-02-12 9:04 ` Slava Dubrovskiy
2007-02-12 9:04 ` Dmitriy L. Kruglikov
0 siblings, 2 replies; 20+ messages in thread
From: Anton Gorlov @ 2007-02-12 8:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
> AG> -r-------- 1 root root 11 Июл 7 2005 ldap.secret
> AG> Файл может прчоитаь тлоько рут.
> AG> Это под мастером 2.4
> И более того...
> Если у него права отличные от указанных, то вообще работать не будет.
> Но, если эту рабочую машинку ребутнуть в режиме "спасения",
> то фсе будет прочитано...
> И я не уверен, что читающим буду я ;)
Если есть доступ к машине физически -то можнор вообще всё что угодно
спереть. Исключение - шифрованный раздел.
Так что таки ограничения по лицам,имеющим доступу в серверную рулит. А
ещё рулит регистрация по времени кто,когда и на сколько входил в серверную
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:58 ` Anton Gorlov
@ 2007-02-12 9:04 ` Slava Dubrovskiy
2007-02-12 9:11 ` Dmitriy L. Kruglikov
2007-02-12 9:04 ` Dmitriy L. Kruglikov
1 sibling, 1 reply; 20+ messages in thread
From: Slava Dubrovskiy @ 2007-02-12 9:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Anton Gorlov пишет:
>> AG> -r-------- 1 root root 11 Июл 7 2005 ldap.secret
>> AG> Файл может прчоитаь тлоько рут.
>> AG> Это под мастером 2.4
>> И более того...
>> Если у него права отличные от указанных, то вообще работать не будет.
>> Но, если эту рабочую машинку ребутнуть в режиме "спасения",
>> то фсе будет прочитано...
>> И я не уверен, что читающим буду я ;)
>>
> Если есть доступ к машине физически -то можнор вообще всё что угодно
> спереть. Исключение - шифрованный раздел.
> Так что таки ограничения по лицам,имеющим доступу в серверную рулит. А
> ещё рулит регистрация по времени кто,когда и на сколько входил в серверную
>
А если это desktop, то первое что я делаю, это:
1. Опломбирование корпуса;
2. Пароль на bios с загрузкой только с винта;
3. Отключение CDROM, USB, FLOPPY и т.д. Оставляю только тем, кому это
реально надо.
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:58 ` Anton Gorlov
2007-02-12 9:04 ` Slava Dubrovskiy
@ 2007-02-12 9:04 ` Dmitriy L. Kruglikov
2007-02-12 9:08 ` Anton Gorlov
1 sibling, 1 reply; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 9:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении:
AG == Anton Gorlov
AG> Так что таки ограничения по лицам,имеющим доступу в серверную рулит.
А кто сказал, что это серверная ?!?!?!
Я говорю о рабочей станции, которая настроена на получение
списка пользователей и на авторизацию в каталоге LDAP.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Сражение выигрывает тот, кто твердо решил его выиграть.
-- Л.Н.Толстой
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 9:04 ` Dmitriy L. Kruglikov
@ 2007-02-12 9:08 ` Anton Gorlov
0 siblings, 0 replies; 20+ messages in thread
From: Anton Gorlov @ 2007-02-12 9:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
> AG> Так что таки ограничения по лицам,имеющим доступу в серверную рулит.
> А кто сказал, что это серверная ?!?!?!
> Я говорю о рабочей станции, которая настроена на получение
> списка пользователей и на авторизацию в каталоге LDAP.
пароль на биос и отключение загрузки с usb/cd/чтотамещё
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 9:04 ` Slava Dubrovskiy
@ 2007-02-12 9:11 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 9:11 UTC (permalink / raw)
To: slava, ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Slava Dubrovskiy писал(а) в сообщении:
SD == Slava Dubrovskiy
SD> >
SD> А если это desktop, то первое что я делаю, это:
SD> 1. Опломбирование корпуса;
SD> 2. Пароль на bios с загрузкой только с винта;
SD> 3. Отключение CDROM, USB, FLOPPY и т.д. Оставляю только тем, кому это
SD> реально надо.
Коллеги, давайте вернемся к теме.
Мне действительно нужен ответ.
Либо категорическое "Да, нужно записать так вот: "
либо категорическое "нет" подтвержденное цитатами.
Поверьте, я то же умею запирать серверную,
отключать приводы и т.д.
И линейкой по рукам то же умею...
И стреляю практически из всех видов ручного оружия.
Но я прошу по теме высказываться...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Педагогика - попытка дать больше, чем знаешь сам.
-- Геннадий Малкин
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 8:32 ` Dmitriy L. Kruglikov
2007-02-12 8:34 ` Anton Gorlov
@ 2007-02-12 9:24 ` Avramenko Andrew
1 sibling, 0 replies; 20+ messages in thread
From: Avramenko Andrew @ 2007-02-12 9:24 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Но, имея возможность прочитать установленный пароль, дальше уже не проблема
> войти в систему с этим паролем и поменять его себе (как минимум).
>
> В любом случае, пароль для доступа к каталогу для получения пароля пользователя
> хранится в открытом виде.
>
> Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
> Не зависимо от того, рутовый(админский) он или нет.
На рабочих станциях по-моему можно использовать гостевую учетную запись,
с правами только чтения. Конечно, человек может получить доступ к хэшам
паролей, но злоумышленник не сможет его применить, не получив оригинал
пароля, потому что в файлике ldap.secrets _НЕЛЬЗЯ_ использовать хэш
пароля. Пароль по сети _обязательно_ передается plaintext'ом.
Это всего лишь ИМХО, но по-моему не далекое от реальности.
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-07 10:13 [Sysadmins] Пароль в /etc/nss_ldap.secret Dmitriy L. Kruglikov
2007-02-12 7:30 ` Avramenko Andrew
@ 2007-02-12 11:17 ` Dmitry Lebkov
2007-02-12 11:27 ` Dmitriy L. Kruglikov
1 sibling, 1 reply; 20+ messages in thread
From: Dmitry Lebkov @ 2007-02-12 11:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> Доброго времени суток.
>
> В /etc/nss_ldap.secret и /etc/pam_ldap.secret
> хранится пароль для rootbinddn в открытом виде.
> Пробовал написать туда
> {SSHA}ХХХ
> не работает, хотя вместо ХХХ то же самое,
> что и в /etc/openldap/slapd.conf в качестве пароля для админа.
>
> Не хотелось бы хранить пароль в открытом виде на рабочих станциях.
>
> У кого-нибудь есть решения ?
Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
Использовать пароли в том же виде, что и в /etc/openldap/slapd.conf,
не получится. Причина: {SSHA}ХХХ - это хэш plaintext-пароля.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 11:17 ` Dmitry Lebkov
@ 2007-02-12 11:27 ` Dmitriy L. Kruglikov
2007-02-12 11:32 ` Dmitry Lebkov
0 siblings, 1 reply; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 11:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Dmitry Lebkov писал(а) в сообщении:
DL == Dmitry Lebkov
DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
При этом, анонимус получит доступ к парольным полям (на чтение).
Как это отразится на безопасности ?
Пропустит ли такое наше секьюрити ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Человек - единственное животное на свете, способное смеяться и рыдать, ибо из всех
живых существ только человеку дано видеть разницу между тем, что есть, и тем, что
могло бы быть.
-- Уильям Хэзлитт
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 11:27 ` Dmitriy L. Kruglikov
@ 2007-02-12 11:32 ` Dmitry Lebkov
2007-02-12 11:39 ` Dmitriy L. Kruglikov
2007-02-12 12:48 ` Anton Gorlov
0 siblings, 2 replies; 20+ messages in thread
From: Dmitry Lebkov @ 2007-02-12 11:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Февраль 2007 года,
> Dmitry Lebkov писал(а) в сообщении:
>
> DL == Dmitry Lebkov
>
> DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
>
> При этом, анонимус получит доступ к парольным полям (на чтение).
Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
мог получить любой (через anonymous bind), а проверка пароля производится
посредством попытки сделать bind к LDAP'у, используя имя и пароль
пользователя, который пытается авторизоваться в системе.
Hint: привилегия auth в настройках ACL OpenLDAP'а.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 11:32 ` Dmitry Lebkov
@ 2007-02-12 11:39 ` Dmitriy L. Kruglikov
2007-02-12 11:51 ` Dmitry Lebkov
2007-02-12 12:48 ` Anton Gorlov
1 sibling, 1 reply; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 11:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Dmitry Lebkov писал(а) в сообщении:
DL == Dmitry Lebkov
DL> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
DL> мог получить любой (через anonymous bind)
То есть, достаточно закомментировать строки rootbinddn
в /etc/(pam|nss)_ldap.conf, а файлы /etc/(pam|nss)_ldap.secret
оставить пустыми или удалить ?
Я правильно понял рецепт ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Самую сильную черту отличия человека от животных составляет
нравственное чувство или совесть. И господство его выражается в
коротком, но могучем и крайне выразительном слове "должен".
-- Ч.Дарвин
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 11:39 ` Dmitriy L. Kruglikov
@ 2007-02-12 11:51 ` Dmitry Lebkov
0 siblings, 0 replies; 20+ messages in thread
From: Dmitry Lebkov @ 2007-02-12 11:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Февраль 2007 года,
> Dmitry Lebkov писал(а) в сообщении:
>
> DL == Dmitry Lebkov
>
> DL> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
> DL> мог получить любой (через anonymous bind)
>
> То есть, достаточно закомментировать строки rootbinddn
> в /etc/(pam|nss)_ldap.conf, а файлы /etc/(pam|nss)_ldap.secret
> оставить пустыми или удалить ?
>
> Я правильно понял рецепт ?
Почти. ;) Основное - убедиться, что через anonymous bind можно
получать то, что нужно системе для работы (username/uid/gid).
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 11:32 ` Dmitry Lebkov
2007-02-12 11:39 ` Dmitriy L. Kruglikov
@ 2007-02-12 12:48 ` Anton Gorlov
2007-02-12 13:18 ` Dmitriy L. Kruglikov
1 sibling, 1 reply; 20+ messages in thread
From: Anton Gorlov @ 2007-02-12 12:48 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitry Lebkov пишет:
>> DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
>> При этом, анонимус получит доступ к парольным полям (на чтение).
> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
> мог получить любой (через anonymous bind), а проверка пароля производится
> посредством попытки сделать bind к LDAP'у, используя имя и пароль
> пользователя, который пытается авторизоваться в системе.
> Hint: привилегия auth в настройках ACL OpenLDAP'а.
Мужики..если кто настроет такое - запиште дял будующих поколений пример
на wiki.. где-нить здесь:
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 12:48 ` Anton Gorlov
@ 2007-02-12 13:18 ` Dmitriy L. Kruglikov
2007-02-12 13:29 ` Anton Gorlov
0 siblings, 1 reply; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 13:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении:
AG == Anton Gorlov
AG> Мужики..если кто настроет такое - запиште дял будующих поколений пример
AG> на wiki.. где-нить здесь:
AG> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap
Ну ..... В первом приближении работает ....
Сейчас вылавливаю баги ...
Попутно вопрос:
У меня несколько своя схема дерева в LDAP.
Если я заточу все под свою, то она как бы
станет стандартом...
И перетачивать потом будет не шибко весело...
Готов скооперироваться с любым желающим
чтоб потом не только меня пинали... :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Дорогая, ты увидишь, он бескрайний, я тебе его дарю
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 13:18 ` Dmitriy L. Kruglikov
@ 2007-02-12 13:29 ` Anton Gorlov
2007-02-12 13:59 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 20+ messages in thread
From: Anton Gorlov @ 2007-02-12 13:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
AG> Мужики..если кто настроет такое - запиште дял будующих поколений пример
> AG> на wiki.. где-нить здесь:
> AG> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap
> Ну ..... В первом приближении работает ....
> Сейчас вылавливаю баги ...
> Попутно вопрос:
> У меня несколько своя схема дерева в LDAP.
> Если я заточу все под свою, то она как бы
> станет стандартом...
> И перетачивать потом будет не шибко весело...
Хм. Я ставраюсь более-менее придерживаться к имеющимся вещам..а если уж
чтото над одобавить -то нев заменсуществующему,а кк дополнение.
^ permalink raw reply [flat|nested] 20+ messages in thread
* Re: [Sysadmins] Пароль в /etc/nss_ldap.secret
2007-02-12 13:29 ` Anton Gorlov
@ 2007-02-12 13:59 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 20+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-12 13:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении:
AG == Anton Gorlov
AG> Хм. Я ставраюсь более-менее придерживаться к имеющимся вещам..а если уж
AG> чтото над одобавить -то нев заменсуществующему,а кк дополнение.
В файле /etc/(pam|nss)_ldap.conf кое где можно сократить поисковой базы...
Тогда редактирование файла сведется к минимуму ...
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=People,?one
nss_base_shadow ou=People,?one
nss_base_group ou=Groups,?one
nss_base_hosts ou=Computers,?one
Проверено, работает ...
Но кому-то может понравится делать не ou=People,
а ou=Users, или еще как ....
У меня все в одной ветке ....
Кто-то хочет иметь отдельные ветки для каждого сервиса.
Нужно выйти на какой-то уровень оптимальности ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Я жил в бедности и умру богатым; но с несравненно большим
удовольствием я прожил бы богатым и умер в бедности.
-- Б.Дизраэли
^ permalink raw reply [flat|nested] 20+ messages in thread
end of thread, other threads:[~2007-02-12 13:59 UTC | newest]
Thread overview: 20+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-02-07 10:13 [Sysadmins] Пароль в /etc/nss_ldap.secret Dmitriy L. Kruglikov
2007-02-12 7:30 ` Avramenko Andrew
2007-02-12 8:32 ` Dmitriy L. Kruglikov
2007-02-12 8:34 ` Anton Gorlov
2007-02-12 8:44 ` Dmitriy L. Kruglikov
2007-02-12 8:58 ` Anton Gorlov
2007-02-12 9:04 ` Slava Dubrovskiy
2007-02-12 9:11 ` Dmitriy L. Kruglikov
2007-02-12 9:04 ` Dmitriy L. Kruglikov
2007-02-12 9:08 ` Anton Gorlov
2007-02-12 9:24 ` Avramenko Andrew
2007-02-12 11:17 ` Dmitry Lebkov
2007-02-12 11:27 ` Dmitriy L. Kruglikov
2007-02-12 11:32 ` Dmitry Lebkov
2007-02-12 11:39 ` Dmitriy L. Kruglikov
2007-02-12 11:51 ` Dmitry Lebkov
2007-02-12 12:48 ` Anton Gorlov
2007-02-12 13:18 ` Dmitriy L. Kruglikov
2007-02-12 13:29 ` Anton Gorlov
2007-02-12 13:59 ` Dmitriy L. Kruglikov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git