On Thu, Jul 21, 2005 at 01:19:55PM +0400, Alexander Gerasiov wrote: > # grep -v "^$\|^#" /etc/pam_ldap.conf > host 127.0.0.1 > base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su > ldap_version 3 > rootbinddn cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su > timelimit 30 > bind_timelimit 30 > pam_password exop > > в /etc/ldap.secret хэш логина админа (и только этот файлик 640) >
Туда пишется целиком пароль (не хеш) к rootbinddn из /etc/pam_ldap.conf. Его pam_ldap использует когда root меняет пароль пользователю (командой passwd(1)), так что этот dn должен иметь возможность писать (или совершать тот самый exop) с атрибутом пароля. Если такая возможность не нужна (например, на R/O репликах), то /etc/ldap.secret (и строки rootbinddn, pam_password, и тп в pam_ldap.conf) можно удалять. Когда пользователь сам меняет пароль, он этот атрибут LDAP меняет от своего имени. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]