Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак <i.chu...@generali.garant.ua> wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак <i.chu...@generali.garant.ua> wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на
сколько я понимаю
(это агитация за kerberos)
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=upg,dc=com,dc=ua" write
by anonymous auth
by self write
by * none
Хеш пароля может унесть либо админ, либо self
именно. после взлома одной машины унесут все хэши
За счет чего унесут, интересно?
wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$
host 192.168.255.1
base dc=upg,dc=com,dc=ua
uri ldap://192.168.255.1
ldap_version 3
port 389
scope sub
pam_check_host_attr yes
wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$
HOST 192.168.255.1
BASE dc=upg,dc=com.dc=ua
URI ldap://192.168.255.1:389
wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$
base dc=upg,dc=com,dc=ua
uri ldap://192.168.255.1/
ldap_version 3
pam_check_host_attr yes
pam_password crypt
В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности
и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли).
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bc89d51.70...@gmail.com