pam_ldap & binddn
Anthony Petropoulos
apetrop at gmail.com
Tue Sep 5 16:55:55 EEST 2006
Geia,
To pam sto linux mporei na kanei authentication kai me anonymous bind.
Arkei na exeis sto slapd.conf toy server kati san to parakatw (kai na
bgaleis to binddn apo to pam_ldap.conf toy pelath).
access to attrs=userPassword
....
by anonymous auth
by self write
by * none
Bazeis kai ena tls kai eisai asfalestatos.
On Tue, 2006-09-05 at 16:24 +0300, Antonis Christofides wrote:
> Έχω την εξής απορία σχετικά με το login σε ένα client με ldap.
>
> Ο client συνδέεται με τον ldap server χρησιμοποιώντας το binddn που
> του έχω ορίσει στο pam_ldap.conf, και το password που βρίσκει στο
> pam_ldap.secret. Ψάχνει τη βάση δεδομένων του ldap server για να βρει
> αν υπάρχει άνθρωπος με το username και password που έχει
> πληκτρολογήσει ο χρήστης, που να έχει και δικαίωμα login, και αν ναι,
> επιτρέπει την είσοδο.
>
> Εκείνο που με χαλάει σ' αυτή την ιστορία, αν την έχω καταλάβει καλά,
> είναι ότι πρέπει να ορίσω binddn και password. Θα προτιμούσα, αφού
> λάβει το username και password του χρήστη, να χρησιμοποιήσει αυτά για
> να συνδεθεί με τον ldap server, και αφού κάνει τυχόν επιπλέον ελέγχους
> (τουτέστιν αν ο χρήστης έχει δικαίωμα login) να επιτρέψει την είσοδο.
> Έτσι όπως είναι τώρα, οποιοσδήποτε παραβιάσει ένα client (εύκολο
> εφόσον έχει φυσική πρόσβαση) αποκτά πρόσβαση στο pam_ldap.secret και
> δι' αυτού σε όλα τα encrypted passwords που είναι αποθηκευμένα στον
> ldap server.
>
> Έχω καταλάβει λάθος; Υπάρχει λόγος που είναι έτσι; Ή είναι κακός
> σχεδιασμός/υλοποίηση του pam_ldap;
>
> --
> Antonis Christofides
> +30-2107722840 (work)
> +30-2106521785 (home)
> +30-6979924665 (mobile)
>
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr
More information about the Linux-greek-users
mailing list