From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <tolmi@end.kiev.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.4
X-Virus-Scanned: amavisd-new at serval.end.kiev.ua
Message-ID: <485BBF24.6090902@end.kiev.ua>
Date: Fri, 20 Jun 2008 17:31:00 +0300
From: Vasyl Tereshko <tolmi@end.kiev.ua>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <48566E8F.1020406@end.kiev.ua> <m3ej6waazb.fsf@vvk.distance.ru>
In-Reply-To: <m3ej6waazb.fsf@vvk.distance.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] LDAP+nss_ldap+nscd
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 20 Jun 2008 14:30:58 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/485BBF24.6090902@end.kiev.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Vladimir V. Kamarzin пишет:
>>>>>> On 16 Jun 2008 at 19:45 "VT" == Vasyl Tereshko writes:
>>>>>>             
>
> VT> Добрый день,
> VT> Люди добрые, подскажите, кто может, а то совсем мозги закипают.
> VT> Есть OpenLDAP и там заведены юзеровские эккаунты, настроен на серверах
> VT> nss_ldap и там всё работает.
> VT> А теперь задача - поднять это на клиентской машине, где юзер
> VT> потенциально может получить доступ рута и в nss_ldap.conf
> VT> bindrootdn=<bla-bla> и пароль в nss_ldap.secret положить нельзя.
> VT> А ещё неплохо бы, чтобы там же работал nscd.
> VT> У меня максимум получается, что от рута id <LDAP user> работает, а от
> VT> обычного - нет. Кто-то может поделиться работающими конфигами ?
>
> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
> простые операции можно было анонимно, тогда нет нужды вообще использовать
> rootbinddn.
>   
Ага, но тогда я должен давать для anonymous например доступ к такой 
чувствительной информации, как вхождение пользователя в те или иные 
группы, что совсем неправильно.
Можно конечно не использовать bindrootdn, а просто binddn, и прописывать 
его для каждой клиентской станции отдельно, положив например его в 
ou=Computers, и потом прописать соответсвующие ACL, но это несколько 
увеличивает объём администрирования. Что-то ничего разумного в голову не 
приходит.
-- 
Толми