Re: вопрос о реализации LDAP

От: Dmitry Akindinov <dimak_at_mx_ru>
Дата: Tue 18 Sep 2001 - 19:05:33 MSD

on 18.09.2001 11:19, Sergei I. Golod at rover@tob.ru wrote:

[пропущено]

>>> А вот теперь ошибка(IMHO): если мы отключаем эккаунт( Allow to Use =

> No), то

>>> логин к LDAP по второму DN не проходит(что есть правильно), а вот по

> первому

>>> DN все отлично подключается(что ни есть правильно - ведь учетная запись
>>> отключена) и авторизация к разным службам через коммунигейтовский LDAP

> идет

>>> лесом :(.
>> 
>> Какое решение предлагаете Вы?
>> 

>
> 1. например в случае выставления опции "Allow to Use = No"(а какие еще есть
> опции, определяющие право пользователя на использование своего эккаунта?)
> устанавливать в Directory/Main.data пароль = "". А в момент установки опции
> "Allow to Use=Yes" опять устанавливать его.

Тут наблюдается некоторое недоразумение. Опция "Allow to Use" относится к паролю, а не к аккаунту. И интересна она только для CGPro - это всего лишь информация для сервера, можно ему использовать внутренние пароли или нет.

> 2. процедуру аутенификации в LDAP предварить внутренней функцией,
> проверяющей состояние почтового эккаунта, и если он запрещен, то и в логине
> к LDAP тоже отказывать. Тогда не нужно мудрить со
> сбросом/восстановлением/реплицированием паролей в LDAP. Минус - если у
> эккаунта установлена внешняя аутенификация, то это удлинит время логина к
> LDAP. Но IMHO плюсов больше чем минусов, а то какой смысл в "Allow to Use"
> если при этом пользователь получает доступ к своему эккаунту через LDAP.
Запись в LDAP может использоваться не только для аутентикации к серверу CGPro. Могут быть другие приложения, использующие эту же базу. Почему настройки одной программы (CGPro) должны влиять на результаты другой (например, календарного сервера)?

>> Для успешной аутентикации по LDAPнеобходимо наличие соответствующей записи

> и

>> атрибута userpassword в ней. Вы запрещаете почтовому серверу использовать
>> внутренние для этого сервера пароли - какое отношение это имеет к

> директории

>> LDAP, где этот сервер  хранит _реплику_ _некоторых_ атрибутов аккаунта?

> Даже в

>> случае directory-based доменов, разрешение или запрещение в _CGPro_
>> использования любого из трех  (хоть всех) способов аутентикации приведет
>> только к изменению соответствующих атрибутах записи. Сама запись и атрибут
>> userPassword останутся. Аутентикация к серверу LDAP будет возможна.

> Плохо :(
>
> С уважением, Сергей.

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs


##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru>

Получено Tue Sep 18 15:05:30 2001