форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"каждому пользователю нужно два пароля хранимых в ЛДАП"

Сообщение от schizoid on 21-Авг-06, 19:33

Добрый день. Есть необходимость хранить на Лдап сервере два пароля для каждого пользователя. Один для фтп, другой для впн. Не могу осилить права доступа к атрибутам. Пока и впн и фтп сервера подключаются к ЛДАП от имени рута. Что не есть правильно, но я всё что мог перебрал. Не могу заставить аутентифицироватся от имени анонимуса. Любое написаное мной правило доступа запрещает доступ анонимуса. Было много комбинаций правил, остановился сейчас на таком. access to attrs=vpnPassword, attrs=userPassword         by anonymous auth         by * none access to *         by users read         by anonymous auth Пожалуйста дайте ссылку на русский мануал или подскажите что не так. Плюс в каком атрибуте хранить второй пароль? Как создать такой атрибут, который шифровался б так же как и userpassword?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "каждому пользователю нужно два пароля хранимых в ЛДАП"

Сообщение от bass (??) on 22-Авг-06, 06:10

>Добрый день. >Есть необходимость хранить на Лдап сервере два пароля для каждого пользователя. >Один для фтп, другой для впн. > >Не могу осилить права доступа к атрибутам. >Пока и впн и фтп сервера подключаются к ЛДАП от имени рута. >Что не есть правильно, >но я всё что мог перебрал. если ваши сервисы не в состоянии пробрасывать аутентификацию пользователей в ldap,то заведите админов этих сервисов и подключайтесь под ними. >Не могу заставить аутентифицироватся от имени анонимуса. >Любое написаное мной правило доступа запрещает доступ анонимуса. > >Было много комбинаций правил, остановился сейчас на таком. > >access to attrs=vpnPassword, attrs=userPassword >        by anonymous auth >        by * none >access to * >        by users read >        by anonymous auth > >Пожалуйста дайте ссылку на русский мануал или подскажите что не так. ничего криминального в ваших acl нет. возможно ваши сервисы просто не умеют ldap_auth_bind  (читай выше про отдельных админов) кроме-того, лдап на некоторых системых очень конкретен к синтаксису...не любит переводы строк, табуляцию в acl, считая это частью acl. должно быть примерно так: access to attrs=userPassword by dn.regex="cn=adm,o=myorg" write by anonymous auth by self write by * none access to dn.regex=".*,ou=PeopleOfFTPandVPN,o=myorg" by dn.regex="cn=adm,o=myorg" write by self write by * read >Плюс в каком атрибуте хранить второй пароль? >Как создать такой атрибут, который шифровался б так же как и userpassword? вообще смысл единого хранилища в слове _единый_ :) но что вам мешает сделать 2-й атрибут userpassword? вменяемый сервис будет перебирать их пока не совпадёт с одним из них. Ничего также не мешает сделать свой атрибут по аналогии  с userpassword и назвать его как вам хочется. Как сделать? открыть core.schema + документацию и сделать по аналогии

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "каждому пользователю нужно два пароля хранимых в ЛДАП"
	Сообщение от schizoid on 22-Авг-06, 14:55
	>если ваши сервисы не в состоянии пробрасывать аутентификацию пользователей в ldap, >то заведите >админов этих сервисов и подключайтесь под ними. Не понимаю что такое админы сервисов... Имеется ввиду создать в лдап пользователей типа VpnRoot FtpRoot? И предоставить им доступ к соответствующим атрибутам? >ничего криминального в ваших acl нет. возможно ваши сервисы просто не умеют >ldap_auth_bind  (читай выше про отдельных админов) Не уверен, но если эти сервисы логинятся сейчас от имени рута, то разве это не означает что умеют? То с чего надо было начать: Freebsd 4.9: openldap-server-2.4.2.a_1;  freeradius-1.1.2;  mpd-3.18_4 RedHat7: pure-ftpd-1.0.21 >кроме-того, лдап на некоторых системых очень конкретен к синтаксису...не любит переводы строк, >табуляцию в acl, считая это частью acl. >должно быть примерно так: >access to attrs=userPassword by dn.regex="cn=adm,o=myorg" write by anonymous auth by self write >by * none >access to dn.regex=".*,ou=PeopleOfFTPandVPN,o=myorg" by dn.regex="cn=adm,o=myorg" write by self write by * read Спасибо. У Вас есть русский док по конфигу аклом? >>Плюс в каком атрибуте хранить второй пароль? >>Как создать такой атрибут, который шифровался б так же как и userpassword? > >вообще смысл единого хранилища в слове _единый_ :) Знаю но у полутысячи пользователей уже роздано по два пароля :) >но что вам мешает сделать 2-й атрибут userpassword? вменяемый сервис будет перебирать >их пока не совпадёт с одним из них. Попробовал. похоже у меня невменяемый. :) >Ничего также не >мешает сделать свой атрибут по аналогии  с userpassword и назвать >его как вам хочется. Как сделать? открыть core.schema + документацию и >сделать по аналогии Показываю как сделал. attributetype ( 2.5.4.66 NAME 'vpnPassword'        DESC 'RFC2256/2307: password of user'        EQUALITY octetStringMatch        SYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128} ) Как видно не особо отличается от  Юзерпасворда #attributetype ( 2.5.4.35 NAME 'userPassword' #       DESC 'RFC2256/2307: password of user' #       EQUALITY octetStringMatch #       SYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128} ) Но при выполнении ЛдапСерч, Юзерпассворд выдается криптованый, а впн пассворд - открытый. И хранить его криптованым в лдапе нельзя из-за Радиуса. Не понял причины, но в конфиге радиуса так и написано - пароль должен быть открытым.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]