12 октября 2009 г. 14:13 пользователь Paul Wolneykien написал:
> В ходе обсуждения текущего состояния модулей alterator-openldap и > alterator-ldap-users, у нас с Димой (dkr@) возник вопрос о том, каким > вообще должно быть правильное построение авторизации управляющего модуля > в управляемые службы? В качестве примера неправильного, на наш взгляд, построения решения приведу текущий механизм авторизации в alterator-openldap: Пароль административного доступа (в открытом виде) хранится в /etc/openldap/slapd-*.conf, где его и вычитывает alterator-openldap-functions... Далее, ряд простых вопросов? - если не OpenLDAP, а 389? - если админ был нормальным, и пароль зашифровал? - если сервер не тот же, на котором запущена WEB-морда альтератора и нет доступа к /etc/openldap/*.conf ? Простейшим видится некоторый диалог с запросом пароля, но это не самый лучший выход... В случае с другими службами, пароль может храниться в том же LDAP, но то же не в открытом виде, более того, не доступным для анонимного чтения. Вероятно не вызывает сомнений и утверждение о том, что в конфигах хранить пароль в открытом виде несколько опасно ... -- Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com _______________________________________________ devel-conf mailing list devel-conf@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/devel-conf