Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
by dn="cn=proxy,dc=test,dc=ru" read
by * none
Далее настроим наших клиентов в файле /etc/ldap.conf для *nix-клиентов, для других ОС необходимо смотреть документацию к софту, работающему с LDAP-сервером:
# Сервер LDAP – IP-адрес сервера или его имя, находящееся в /etc/hosts, или в DNS на удалённом узле
host 127.0.0.1
# Основной суффикс должен совпадать с суффиксом в slapd.conf
base dc=test,dc=ru
# Это типа root, точнее, наш горячо любимый proxy, сделано в целях безопасности и не позволяет самому
# пользователю изменить пароль.
rootbinddn cn=proxy,dc=test,dc=ru
scope one
# Это фильтр для поиска пользовательских записей
pam_filter objectclass=posixaccount
# Атрибут, определяющий имя пользователя и его группы для pam-модуля
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
# Тип пароля - шифрование UNIX crypt, кстати, шифрование LDAP и шифрование UNIX – несовместимы
# (crypt означает именно шифрование unix)!
pam_password crypt
# Базовые dn для поиска различных объектов, one - это область поиска. Данные параметры используются nss.
nss_base_passwd
ou=People,dc=test,dc=ru?one
nss_base_shadow
ou=People,dc=test,dc=ru?one
nss_base_group
ou=Group,dc=test,dc=ru?one
nss_base_hosts
ou=Hosts,dc=test,dc=ru?one
После этого вы должны создать файл, содержащий пароль коварного proxy в открытом(!) виде. Ну и конечно же, запретить чтение/запись всем, кроме root (chmod 0600 chown root:root). В принципе то же самое, что и /etc/shadow. Но беда, что пароль хранится в открытом виде. С другой стороны, получение пароля proxy само по себе ничего не даёт: нельзя менять пароли, но прочитать их можно (хотя толку мало, если пароли дикие). Но если proxy не может менять пароль, то никто не сможет изменить свой пароль, иначе как вы себе это представляете. Ну а дальше надо настраивать pam, чтоб он ходил на LDAP-сервер за паролями. Чтобы включить возможность аутентификации приложений через LDAP, необходимо установить модуль PAM pam-ldap. После этого можно включить в файлы /etc/pam.d (эти файлы содержат список способов аутентификации для определённых приложений: login, passwd, pop, smtp...) следующие строчки: