From: "Денис Черносов" <denis0.ru@gmail.com>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] LDAP+nss_ldap+nscd
Date: Fri, 26 Dec 2008 15:47:18 +0400
Message-ID: <d77783290812260347s240a5c75uc0040e1626e737ea@mail.gmail.com> (raw)
In-Reply-To: <48602CB0.6040104@end.kiev.ua>
24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <tolmi@end.kiev.ua> написал:
> Ivan Fedorov пишет:
>>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>>
>>>>
>>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>>> простые операции можно было анонимно, тогда нет нужды вообще
>>>> использовать
>>>> rootbinddn.
>>>>
>>>
>>> Ага, но тогда я должен давать для anonymous например доступ к такой
>>> чувствительной информации, как вхождение пользователя в те или иные
>>> группы,
>>> что совсем неправильно.
>>>
>>
>> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
>> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
>> точно.
>>
>
> Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь
> инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать
> всё, что им не положено.
> А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только
> члены этой группы могли знать кто ещё, кроме него самого имеет доступ к
> ресурсу.
>
> PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая
> задача. Это уж в сторону PKI тогда нужно смотреть...
Уперся в такую же задачку. Не хочу использовать binddn админа ldap на
каждой машине, но и не пойму, как сделать так, чтобы posix
логин+пароль конкретного пользователя передавался в ldap-сервер в
качестве binddn во время поиска соответствий. Потому что разрешать
возможность чтения всех логинов паролей при анонимном подключении тоже
как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять -
слишком заморочено.
Вопрос даже не в шифровании и не в том, что админская учетка будет
лежать на каждой клиентской машине (с которой можно снять винт или
загрузиться с live-cd и прочитать секретный файл), а в том, что все
вопросы ldap-у задаются от имени админа. Неаккуратненько как-то.
Красивее, когда каждому выдается только то, что права ldap-а ему
позволяют.
Кто-нибудь уже смог это настроить?
next prev parent reply other threads:[~2008-12-26 11:47 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-06-16 13:45 Vasyl Tereshko
2008-06-17 5:26 ` Vladimir V. Kamarzin
2008-06-20 14:31 ` Vasyl Tereshko
2008-06-20 14:54 ` Mykola S. Grechukh
2008-06-23 22:05 ` Ivan Fedorov
2008-06-23 23:07 ` Vasyl Tereshko
2008-12-26 11:47 ` Денис Черносов [this message]
2008-12-26 12:34 ` Денис Черносов
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=d77783290812260347s240a5c75uc0040e1626e737ea@mail.gmail.com \
--to=denis0.ru@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git