pam_ldap & binddn

[Anthony Petropoulos]

Geia,

To pam sto linux mporei na kanei authentication kai me anonymous bind.
Arkei na exeis sto slapd.conf toy server kati san to parakatw (kai na
bgaleis to binddn apo to pam_ldap.conf toy pelath).

access to attrs=userPassword
        ....
        by anonymous auth
        by self write
        by * none

Bazeis kai ena tls kai eisai asfalestatos.

On Tue, 2006-09-05 at 16:24 +0300, Antonis Christofides wrote:
> Έχω την εξής απορία σχετικά με το login σε ένα client με ldap.
> 
> Ο client συνδέεται με τον ldap server χρησιμοποιώντας το binddn που
> του έχω ορίσει στο pam_ldap.conf, και το password που βρίσκει στο
> pam_ldap.secret.  Ψάχνει τη βάση δεδομένων του ldap server για να βρει
> αν υπάρχει άνθρωπος με το username και password που έχει
> πληκτρολογήσει ο χρήστης, που να έχει και δικαίωμα login, και αν ναι,
> επιτρέπει την είσοδο.
> 
> Εκείνο που με χαλάει σ' αυτή την ιστορία, αν την έχω καταλάβει καλά,
> είναι ότι πρέπει να ορίσω binddn και password.  Θα προτιμούσα, αφού
> λάβει το username και password του χρήστη, να χρησιμοποιήσει αυτά για
> να συνδεθεί με τον ldap server, και αφού κάνει τυχόν επιπλέον ελέγχους
> (τουτέστιν αν ο χρήστης έχει δικαίωμα login) να επιτρέψει την είσοδο.
> Έτσι όπως είναι τώρα, οποιοσδήποτε παραβιάσει ένα client (εύκολο
> εφόσον έχει φυσική πρόσβαση) αποκτά πρόσβαση στο pam_ldap.secret και
> δι' αυτού σε όλα τα encrypted passwords που είναι αποθηκευμένα στον
> ldap server.
> 
> Έχω καταλάβει λάθος;  Υπάρχει λόγος που είναι έτσι;  Ή είναι κακός
> σχεδιασμός/υλοποίηση του pam_ldap;
> 
> -- 
> Antonis Christofides
> +30-2107722840 (work)
> +30-2106521785 (home)
> +30-6979924665 (mobile)
> 
> 
> -- 
> linux-greek-users mailing list -- http://lists.hellug.gr