From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <tolmi@end.kiev.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.5 required=5.0 tests=BAYES_00,RDNS_NONE
	autolearn=no version=3.2.4
X-Virus-Scanned: amavisd-new at serval.end.kiev.ua
Message-ID: <48602CB0.6040104@end.kiev.ua>
Date: Tue, 24 Jun 2008 02:07:28 +0300
From: Vasyl Tereshko <tolmi@end.kiev.ua>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <48566E8F.1020406@end.kiev.ua>
	<m3ej6waazb.fsf@vvk.distance.ru>	<485BBF24.6090902@end.kiev.ua>
	<2c1ee2a10806231505k4500758ej816257088bd076a@mail.gmail.com>
In-Reply-To: <2c1ee2a10806231505k4500758ej816257088bd076a@mail.gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] LDAP+nss_ldap+nscd
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 23 Jun 2008 23:07:30 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/48602CB0.6040104@end.kiev.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Ivan Fedorov пишет:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>   
>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>> простые операции можно было анонимно, тогда нет нужды вообще использовать
>>> rootbinddn.
>>>       
>> Ага, но тогда я должен давать для anonymous например доступ к такой
>> чувствительной информации, как вхождение пользователя в те или иные группы,
>> что совсем неправильно.
>>     
> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
> точно.
>   
Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь 
инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят 
знать всё, что им не положено.
А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы 
только члены этой группы могли знать кто ещё, кроме него самого имеет 
доступ к ресурсу.

PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже 
веселая задача. Это уж в сторону PKI тогда нужно смотреть...

-- 
Толми