From: "Денис Черносов" <denis0.ru@gmail.com>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] LDAP+nss_ldap+nscd
Date: Fri, 26 Dec 2008 16:34:24 +0400
Message-ID: <d77783290812260434u36204069kb78d7939ba92ae7d@mail.gmail.com> (raw)
In-Reply-To: <d77783290812260347s240a5c75uc0040e1626e737ea@mail.gmail.com>
26 декабря 2008 г. 15:47 пользователь Денис Черносов
<denis0.ru@gmail.com> написал:
> 24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <tolmi@end.kiev.ua> написал:
>> Ivan Fedorov пишет:
>>>
>>> -----BEGIN PGP SIGNED MESSAGE-----
>>> Hash: SHA1
>>>
>>>
>>>>>
>>>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>>>> простые операции можно было анонимно, тогда нет нужды вообще
>>>>> использовать
>>>>> rootbinddn.
>>>>>
>>>>
>>>> Ага, но тогда я должен давать для anonymous например доступ к такой
>>>> чувствительной информации, как вхождение пользователя в те или иные
>>>> группы,
>>>> что совсем неправильно.
>>>>
>>>
>>> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
>>> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
>>> точно.
>>>
>>
>> Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь
>> инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать
>> всё, что им не положено.
>> А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только
>> члены этой группы могли знать кто ещё, кроме него самого имеет доступ к
>> ресурсу.
>>
>> PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая
>> задача. Это уж в сторону PKI тогда нужно смотреть...
>
> Уперся в такую же задачку. Не хочу использовать binddn админа ldap на
> каждой машине, но и не пойму, как сделать так, чтобы posix
> логин+пароль конкретного пользователя передавался в ldap-сервер в
> качестве binddn во время поиска соответствий. Потому что разрешать
> возможность чтения всех логинов паролей при анонимном подключении тоже
> как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять -
> слишком заморочено.
>
> Вопрос даже не в шифровании и не в том, что админская учетка будет
> лежать на каждой клиентской машине (с которой можно снять винт или
> загрузиться с live-cd и прочитать секретный файл), а в том, что все
> вопросы ldap-у задаются от имени админа. Неаккуратненько как-то.
> Красивее, когда каждому выдается только то, что права ldap-а ему
> позволяют.
>
> Кто-нибудь уже смог это настроить?
Хм... чем больше ищу, тем больше понимаю, что такое поведение
подразумевается. Типа, сначала попытка анонимного чтения, далее, если
в acl написано требование аутентификации анонимов для чтения соотв.
атрибутов, то проводится аутентификация... Только хотелось бы узнать
полный список атрибутов, которые необходимо раскомментировать для
включения такого поведения...
>
prev parent reply other threads:[~2008-12-26 12:34 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-06-16 13:45 Vasyl Tereshko
2008-06-17 5:26 ` Vladimir V. Kamarzin
2008-06-20 14:31 ` Vasyl Tereshko
2008-06-20 14:54 ` Mykola S. Grechukh
2008-06-23 22:05 ` Ivan Fedorov
2008-06-23 23:07 ` Vasyl Tereshko
2008-12-26 11:47 ` Денис Черносов
2008-12-26 12:34 ` Денис Черносов [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=d77783290812260434u36204069kb78d7939ba92ae7d@mail.gmail.com \
--to=denis0.ru@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git