pam_ldap & binddn

[Antonis Christofides]

> Bebaia opoiosdhpote user exei fysikh prosbash se kapoion client, pragma 
> pou synh8ws shmainei oti mporei paneykola na parei root access, mporei 
> epishs paneykola na fytepsei pentakosious ekshnta efta password sniffers 
> se ka8e client.

Όντως.  Από την άλλη σε clients που είναι για δημόσια χρήση συνήθως
υπάρχει κάποια επιτήρηση, ενώ σε clients που είναι κλεισμένα σε κάποιο
γραφείο ή (ίσως όχι στην περίπτωση του pam_ldap, αλλά σε παρεμφερή
χρήση του ldap για πρόσβαση σε υπηρεσίες file sharing) σε laptop, ή σε
σπίτια, δεν υπάρχει έλεγχος.

Απ' ό,τι κατάλαβα, ο λόγος για τον οποίο γίνεται όλη αυτή η ιστορία
με τον proxy user είναι ότι ο client δεν ξέρει το dn του χρήστη.  Θα
μου φαινόταν απλούστερο και ασφαλέστερο αν αντί να ορίζω proxy user
όριζα κανόνες με τους οποίους ο client να δημιουργεί το dn.  Για
παράδειγμα:

BINDDN='uid=$USERNAME,dc=triakilakodika,dc=gr'

> To pam_ldap yposthrizei TLS akribws gi ayto to skopo, alla an 8es th 
> gnwmh moy, einai manoura.
> Giati den xrhsimopoieis kerberos gia authentication?

Έχω στήσει ήδη το TLS και δουλεύει.  Για να στήσω kerberos θα έπρεπε
να διαβάσω κι άλλα άπειρα πράγματα.

Η μόνη σκοτουρίτσα που έχω δει με το TLS είναι ότι, επειδή χρησιμοποιώ
self-signed certificate, πρέπει σε κάθε client να προσθέτω το
certificate στον κατάλογο με τα signing authorities που εμπιστεύομαι
(τουτέστιν στο /etc/ssl/certs/ca-certificates.crt).