авторизация в openldap-2.4.16+sasl+check_host_attribute
Добавлено: 2009-05-26 11:11:19
день добрый!
Имею:
freebsd 6.3
openldap-2.4.16 собран с поддержкой sasl (из портов)
Задался задачей внедрить LDAP как систему хранение учеток и прочего. Авторизация через PAM. Скажу сразу - ориентируюсь только на unix. Никакой samba.
На текущий момент перенес всю иерархию учеток и групп в LDAP, там же храню public-rsa для удобства пользования ssh. В процессе разбора информации столкнулся с отличиями версий openldap. В итоге не решенными остались следующие задачи:
1. SASL. Я хочу, чтобы пользователи могли сами менять свои пароли. Приучать их к simple авторизации в ldap не хочу. Решил прикрутить sasl в режиме digest-md5. И сразу проблема: в разных доках на ldap идет разная информация по sasl. На openldap.org упоминается строка
но одной ее явно не хватает. Если у кого есть боле подробная информация, буду признателен.
2. Есть такая замечательная штука, как атрибут host, которым можно было ограничивать работу пользователя на конкретном хосте (если имена не совпадают). Тут pam_ldap помогает с параметром chech_host_attribute. Но на практике никакой пользы не получил ни от атрибута host, ни от включенного chech_host_attribute в pam_ldap. Есть какие-нибудь сведения, можно ли это заставить работать?
Собственно вот. Если будет какая-нибудь информация, буду очень признателен.
Имею:
freebsd 6.3
openldap-2.4.16 собран с поддержкой sasl (из портов)
Задался задачей внедрить LDAP как систему хранение учеток и прочего. Авторизация через PAM. Скажу сразу - ориентируюсь только на unix. Никакой samba.
На текущий момент перенес всю иерархию учеток и групп в LDAP, там же храню public-rsa для удобства пользования ssh. В процессе разбора информации столкнулся с отличиями версий openldap. В итоге не решенными остались следующие задачи:
1. SASL. Я хочу, чтобы пользователи могли сами менять свои пароли. Приучать их к simple авторизации в ldap не хочу. Решил прикрутить sasl в режиме digest-md5. И сразу проблема: в разных доках на ldap идет разная информация по sasl. На openldap.org упоминается строка
Код: Выделить всё
authz-regex uid=<username>,cn=<realm>,cn=digest-md5,cn=auth
2. Есть такая замечательная штука, как атрибут host, которым можно было ограничивать работу пользователя на конкретном хосте (если имена не совпадают). Тут pam_ldap помогает с параметром chech_host_attribute. Но на практике никакой пользы не получил ни от атрибута host, ни от включенного chech_host_attribute в pam_ldap. Есть какие-нибудь сведения, можно ли это заставить работать?
Собственно вот. Если будет какая-нибудь информация, буду очень признателен.