OT: autentykacja via LDAP

Adam Szpakowski worf w optics.polsl.gliwice.pl
Pią, 25 Kwi 2003, 06:57:52 CEST


Dnia Thursday 24 of April 2003 22:15, Daniel Mróz napisał:
>    Mam pytanie do ludkow uzywajacych LDAP do autoryzacji userow. Jak
> rozwiazujecie problem hasla? 
[cut]

Witam,

Proponuję abyś do normalnej pracy w ogóle nie dotykał pam_ldap. Ja wybrałem 
rozwiązanie pam_unix + nss_ldap. IMHO rozwiązanie o tyle przyjemne, że 
jedynym w zasadzie punktem ingerencji w "normalny" system jest 
nssswitch.conf. Zapytania nss-a się też ładnie cachują oszczędzając ldap-a. 
Dodatkowo zupełnie bezboleśnie można pożenić userów lokalnych i z ldap-a 
poprzez wymuszenie w nssswitch kolejki w stylu: files ldap. Jedynym problemem 
z jakim się na razie spotkałem to bunt vim-a przy pracy z crontabem. Ale to 
jak uznano bug vim-a. Trzeba też uważać z ftp aby po plikach lokalnych nie 
grzebał. Jedynym problemem jest passwd, który wymaga użycia pam_ldap i 
specjalnie sprokurowanego pliku pam.

Ja wybrałem troszke niestandartowe rozwiązanie zarządzania hasłami i userami. 
Wdrażam systemik, który kumpel pisze w php (przy mej pewnej pomocy) i powoli 
przenoszę jego funkcjonalność na Zope. Efekt jest taki, że z jednego miejsca 
można zarządzać całościowo userem (hasła, osobowości, obsługa samby, 
dynamiczne skrzynki z qmail-ldap). Generalnie hasła trzymane są w postaci 
{CRYPT}hasło.  Takie rozwiązanie krzaczy się tylko przy unikodzie i jego 
dziwacznym supporcie w PHP i konieczności stosowania obejść w pythonie, ale 
to zupełnie inna bajka :-). Pozwala to na kompatybilności z usługami 
shellowymi.

Pozdrawiam

-- 
Adam Szpakowski
Silesian University of Technology - Institute of Physics
Department of Optoelectronic
e-mail: worf w optics.polsl.gliwice.pl



Więcej informacji o liście dyskusyjnej pld-users-pl