The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"каждому пользователю нужно два пароля хранимых в ЛДАП"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"каждому пользователю нужно два пароля хранимых в ЛДАП"  
Сообщение от schizoid on 21-Авг-06, 19:33 
Добрый день.
Есть необходимость хранить на Лдап сервере два пароля для каждого пользователя.
Один для фтп, другой для впн.

Не могу осилить права доступа к атрибутам.
Пока и впн и фтп сервера подключаются к ЛДАП от имени рута. Что не есть правильно,
но я всё что мог перебрал.
Не могу заставить аутентифицироватся от имени анонимуса.
Любое написаное мной правило доступа запрещает доступ анонимуса.

Было много комбинаций правил, остановился сейчас на таком.

access to attrs=vpnPassword, attrs=userPassword
        by anonymous auth
        by * none
access to *
        by users read
        by anonymous auth

Пожалуйста дайте ссылку на русский мануал или подскажите что не так.
Плюс в каком атрибуте хранить второй пароль?
Как создать такой атрибут, который шифровался б так же как и userpassword?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "каждому пользователю нужно два пароля хранимых в ЛДАП"  
Сообщение от bass (??) on 22-Авг-06, 06:10 
>Добрый день.
>Есть необходимость хранить на Лдап сервере два пароля для каждого пользователя.
>Один для фтп, другой для впн.
>
>Не могу осилить права доступа к атрибутам.
>Пока и впн и фтп сервера подключаются к ЛДАП от имени рута.
>Что не есть правильно,
>но я всё что мог перебрал.

если ваши сервисы не в состоянии пробрасывать аутентификацию пользователей в ldap,то заведите админов этих сервисов и подключайтесь под ними.

>Не могу заставить аутентифицироватся от имени анонимуса.
>Любое написаное мной правило доступа запрещает доступ анонимуса.
>
>Было много комбинаций правил, остановился сейчас на таком.
>
>access to attrs=vpnPassword, attrs=userPassword
>        by anonymous auth
>        by * none
>access to *
>        by users read
>        by anonymous auth
>
>Пожалуйста дайте ссылку на русский мануал или подскажите что не так.

ничего криминального в ваших acl нет. возможно ваши сервисы просто не умеют ldap_auth_bind  (читай выше про отдельных админов)
кроме-того, лдап на некоторых системых очень конкретен к синтаксису...не любит переводы строк, табуляцию в acl, считая это частью acl.
должно быть примерно так:
access to attrs=userPassword by dn.regex="cn=adm,o=myorg" write by anonymous auth by self write by * none
access to dn.regex=".*,ou=PeopleOfFTPandVPN,o=myorg" by dn.regex="cn=adm,o=myorg" write by self write by * read


>Плюс в каком атрибуте хранить второй пароль?
>Как создать такой атрибут, который шифровался б так же как и userpassword?

вообще смысл единого хранилища в слове _единый_ :)
но что вам мешает сделать 2-й атрибут userpassword? вменяемый сервис будет перебирать их пока не совпадёт с одним из них. Ничего также не мешает сделать свой атрибут по аналогии  с userpassword и назвать его как вам хочется. Как сделать? открыть core.schema + документацию и сделать по аналогии


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "каждому пользователю нужно два пароля хранимых в ЛДАП"  
Сообщение от schizoid on 22-Авг-06, 14:55 

>если ваши сервисы не в состоянии пробрасывать аутентификацию пользователей в ldap,
>то заведите
>админов этих сервисов и подключайтесь под ними.

Не понимаю что такое админы сервисов...
Имеется ввиду создать в лдап пользователей типа VpnRoot FtpRoot?
И предоставить им доступ к соответствующим атрибутам?

>ничего криминального в ваших acl нет. возможно ваши сервисы просто не умеют
>ldap_auth_bind  (читай выше про отдельных админов)

Не уверен, но если эти сервисы логинятся сейчас от имени рута, то разве это не означает что умеют?

То с чего надо было начать:
Freebsd 4.9: openldap-server-2.4.2.a_1;  freeradius-1.1.2;  mpd-3.18_4
RedHat7: pure-ftpd-1.0.21

>кроме-того, лдап на некоторых системых очень конкретен к синтаксису...не любит переводы строк,
>табуляцию в acl, считая это частью acl.
>должно быть примерно так:
>access to attrs=userPassword by dn.regex="cn=adm,o=myorg" write by anonymous auth by self write
>by * none
>access to dn.regex=".*,ou=PeopleOfFTPandVPN,o=myorg" by dn.regex="cn=adm,o=myorg" write by self write by * read

Спасибо.
У Вас есть русский док по конфигу аклом?

>>Плюс в каком атрибуте хранить второй пароль?
>>Как создать такой атрибут, который шифровался б так же как и userpassword?
>
>вообще смысл единого хранилища в слове _единый_ :)
Знаю но у полутысячи пользователей уже роздано по два пароля :)

>но что вам мешает сделать 2-й атрибут userpassword? вменяемый сервис будет перебирать
>их пока не совпадёт с одним из них.
Попробовал. похоже у меня невменяемый. :)

>Ничего также не
>мешает сделать свой атрибут по аналогии  с userpassword и назвать
>его как вам хочется. Как сделать? открыть core.schema + документацию и
>сделать по аналогии
Показываю как сделал.

attributetype ( 2.5.4.66 NAME 'vpnPassword'
       DESC 'RFC2256/2307: password of user'
       EQUALITY octetStringMatch
       SYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128} )

Как видно не особо отличается от  Юзерпасворда

#attributetype ( 2.5.4.35 NAME 'userPassword'
#       DESC 'RFC2256/2307: password of user'
#       EQUALITY octetStringMatch
#       SYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128} )

Но при выполнении ЛдапСерч, Юзерпассворд выдается криптованый, а впн пассворд - открытый.
И хранить его криптованым в лдапе нельзя из-за Радиуса. Не понял причины, но в конфиге радиуса так и написано - пароль должен быть открытым.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру