OT: autentykacja via LDAP
Adam Szpakowski
worf w optics.polsl.gliwice.pl
Pią, 25 Kwi 2003, 06:57:52 CEST
Dnia Thursday 24 of April 2003 22:15, Daniel Mróz napisał:
> Mam pytanie do ludkow uzywajacych LDAP do autoryzacji userow. Jak
> rozwiazujecie problem hasla?
[cut]
Witam,
Proponuję abyś do normalnej pracy w ogóle nie dotykał pam_ldap. Ja wybrałem
rozwiązanie pam_unix + nss_ldap. IMHO rozwiązanie o tyle przyjemne, że
jedynym w zasadzie punktem ingerencji w "normalny" system jest
nssswitch.conf. Zapytania nss-a się też ładnie cachują oszczędzając ldap-a.
Dodatkowo zupełnie bezboleśnie można pożenić userów lokalnych i z ldap-a
poprzez wymuszenie w nssswitch kolejki w stylu: files ldap. Jedynym problemem
z jakim się na razie spotkałem to bunt vim-a przy pracy z crontabem. Ale to
jak uznano bug vim-a. Trzeba też uważać z ftp aby po plikach lokalnych nie
grzebał. Jedynym problemem jest passwd, który wymaga użycia pam_ldap i
specjalnie sprokurowanego pliku pam.
Ja wybrałem troszke niestandartowe rozwiązanie zarządzania hasłami i userami.
Wdrażam systemik, który kumpel pisze w php (przy mej pewnej pomocy) i powoli
przenoszę jego funkcjonalność na Zope. Efekt jest taki, że z jednego miejsca
można zarządzać całościowo userem (hasła, osobowości, obsługa samby,
dynamiczne skrzynki z qmail-ldap). Generalnie hasła trzymane są w postaci
{CRYPT}hasło. Takie rozwiązanie krzaczy się tylko przy unikodzie i jego
dziwacznym supporcie w PHP i konieczności stosowania obejść w pythonie, ale
to zupełnie inna bajka :-). Pozwala to na kompatybilności z usługami
shellowymi.
Pozdrawiam
--
Adam Szpakowski
Silesian University of Technology - Institute of Physics
Department of Optoelectronic
e-mail: worf w optics.polsl.gliwice.pl
Więcej informacji o liście dyskusyjnej pld-users-pl