pam_ldap & binddn

Tue Sep 5 16:24:44 EEST 2006

Έχω την εξής απορία σχετικά με το login σε ένα client με ldap.

Ο client συνδέεται με τον ldap server χρησιμοποιώντας το binddn που
του έχω ορίσει στο pam_ldap.conf, και το password που βρίσκει στο
pam_ldap.secret.  Ψάχνει τη βάση δεδομένων του ldap server για να βρει
αν υπάρχει άνθρωπος με το username και password που έχει
πληκτρολογήσει ο χρήστης, που να έχει και δικαίωμα login, και αν ναι,
επιτρέπει την είσοδο.

Εκείνο που με χαλάει σ' αυτή την ιστορία, αν την έχω καταλάβει καλά,
είναι ότι πρέπει να ορίσω binddn και password.  Θα προτιμούσα, αφού
λάβει το username και password του χρήστη, να χρησιμοποιήσει αυτά για
να συνδεθεί με τον ldap server, και αφού κάνει τυχόν επιπλέον ελέγχους
(τουτέστιν αν ο χρήστης έχει δικαίωμα login) να επιτρέψει την είσοδο.
Έτσι όπως είναι τώρα, οποιοσδήποτε παραβιάσει ένα client (εύκολο
εφόσον έχει φυσική πρόσβαση) αποκτά πρόσβαση στο pam_ldap.secret και
δι' αυτού σε όλα τα encrypted passwords που είναι αποθηκευμένα στον
ldap server.

Έχω καταλάβει λάθος;  Υπάρχει λόγος που είναι έτσι;  Ή είναι κακός
σχεδιασμός/υλοποίηση του pam_ldap;

-- 
Antonis Christofides
+30-2107722840 (work)
+30-2106521785 (home)
+30-6979924665 (mobile)