On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote: > На Thu, 31 Jan 2008 12:40:47 +0200 > Покотиленко Костик <[EMAIL PROTECTED]> записано: > > На пальцах: пользователей с паролями в LDAP засовывать научился, > > программы проверять это дело по LDAP тоже научил. Теперь представим > > себе такую картину, что один пользователь в базе должен иметь доступ > > к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? > Например так: для каждого сервиса почта, ssh, samba заводится > отдельный objectClass (схему создаешь сам). И еще и разные поля для > паролей используешь. > > Ну и естественно сервисы должны работать не через pam или bind > авторизацию, а логиниться в лдап по сервисному аккаунту и проверять > пароль сами.
Это вообще ерунда. Пароль в LDAP надо проверять только через bind. Всё остальное несёт риск компрометации. А разграничение доступа надо проводить при помощи фильтра (все ldap-софтины умеют его задавать) по какому-нибудь атрибуту. Подозреваю, уже есть такие готовые в одной из популярных схем. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]