авторизация в openldap-2.4.16+sasl+check_host_attribute

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
siv
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-05-26 10:48:14

авторизация в openldap-2.4.16+sasl+check_host_attribute

Непрочитанное сообщение siv » 2009-05-26 11:11:19

день добрый!
Имею:
freebsd 6.3
openldap-2.4.16 собран с поддержкой sasl (из портов)
Задался задачей внедрить LDAP как систему хранение учеток и прочего. Авторизация через PAM. Скажу сразу - ориентируюсь только на unix. Никакой samba.
На текущий момент перенес всю иерархию учеток и групп в LDAP, там же храню public-rsa для удобства пользования ssh. В процессе разбора информации столкнулся с отличиями версий openldap. В итоге не решенными остались следующие задачи:
1. SASL. Я хочу, чтобы пользователи могли сами менять свои пароли. Приучать их к simple авторизации в ldap не хочу. Решил прикрутить sasl в режиме digest-md5. И сразу проблема: в разных доках на ldap идет разная информация по sasl. На openldap.org упоминается строка

Код: Выделить всё

authz-regex uid=<username>,cn=<realm>,cn=digest-md5,cn=auth
но одной ее явно не хватает. Если у кого есть боле подробная информация, буду признателен.
2. Есть такая замечательная штука, как атрибут host, которым можно было ограничивать работу пользователя на конкретном хосте (если имена не совпадают). Тут pam_ldap помогает с параметром chech_host_attribute. Но на практике никакой пользы не получил ни от атрибута host, ни от включенного chech_host_attribute в pam_ldap. Есть какие-нибудь сведения, можно ли это заставить работать?
Собственно вот. Если будет какая-нибудь информация, буду очень признателен.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

siv
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-05-26 10:48:14

Re: авторизация в openldap-2.4.16+sasl+check_host_attribute

Непрочитанное сообщение siv » 2009-05-28 7:11:25

Отвечаю на свой первый вопрос (вдруг кому пригодится).
Собранный из портов openldap-2.4 как-то не дружит с sasl в режиме digest-md5. Собрал версию 2.3 - все заработало. Помогло вот это: http://tldp.org/HOWTO/LDAP-HOWTO/sasl.html