Страница 1 из 1

авторизация в openldap-2.4.16+sasl+check_host_attribute

Добавлено: 2009-05-26 11:11:19
siv
день добрый!
Имею:
freebsd 6.3
openldap-2.4.16 собран с поддержкой sasl (из портов)
Задался задачей внедрить LDAP как систему хранение учеток и прочего. Авторизация через PAM. Скажу сразу - ориентируюсь только на unix. Никакой samba.
На текущий момент перенес всю иерархию учеток и групп в LDAP, там же храню public-rsa для удобства пользования ssh. В процессе разбора информации столкнулся с отличиями версий openldap. В итоге не решенными остались следующие задачи:
1. SASL. Я хочу, чтобы пользователи могли сами менять свои пароли. Приучать их к simple авторизации в ldap не хочу. Решил прикрутить sasl в режиме digest-md5. И сразу проблема: в разных доках на ldap идет разная информация по sasl. На openldap.org упоминается строка

Код: Выделить всё

authz-regex uid=<username>,cn=<realm>,cn=digest-md5,cn=auth
но одной ее явно не хватает. Если у кого есть боле подробная информация, буду признателен.
2. Есть такая замечательная штука, как атрибут host, которым можно было ограничивать работу пользователя на конкретном хосте (если имена не совпадают). Тут pam_ldap помогает с параметром chech_host_attribute. Но на практике никакой пользы не получил ни от атрибута host, ни от включенного chech_host_attribute в pam_ldap. Есть какие-нибудь сведения, можно ли это заставить работать?
Собственно вот. Если будет какая-нибудь информация, буду очень признателен.

Re: авторизация в openldap-2.4.16+sasl+check_host_attribute

Добавлено: 2009-05-28 7:11:25
siv
Отвечаю на свой первый вопрос (вдруг кому пригодится).
Собранный из портов openldap-2.4 как-то не дружит с sasl в режиме digest-md5. Собрал версию 2.3 - все заработало. Помогло вот это: http://tldp.org/HOWTO/LDAP-HOWTO/sasl.html