Re: вопрос о реализации LDAP

От: Dmitry Akindinov, Stalker Labs <dimak_at_mx_ru>
Дата: Wed 19 Sep 2001 - 10:37:25 MSD


Hello,

On Wed, Sep 19, 2001, 03:30:51 GMT
  Sergei I. Golod, <rover@tob.ru> wrote:

> Добрый день.
>
> >>> Какое решение предлагаете Вы?
> >>>
> >>
> >> 1. например в случае выставления опции "Allow to Use = No"(а какие еще
> есть
> >> опции, определяющие право пользователя на использование своего эккаунта?)
> >> устанавливать в Directory/Main.data пароль = "". А в момент установки
> опции
> >> "Allow to Use=Yes" опять устанавливать его.
>
> >Тут наблюдается некоторое недоразумение. Опция "Allow to Use" относится к
> >паролю, а не к аккаунту. И интересна она только для CGPro - это всего лишь
> >информация для сервера, можно ему использовать внутренние пароли или нет.
>
> Тогда вопрос - каким образом я могу запретить пользователю,
> зарегистрированному в CGP сервере(имеющему эккаунт) доступ к любым службам,
> предоставляемым CGP(Mail, LDAP, POP,...) кроме как изменения пароля?

<http://www.stalker.com/CommuniGatePro/CLI.html#Account>, UpdateAccount acc_name {AccessModes = (9);} выключит все известные сервисы.

> Может тогда есть смысл ввести опцию "Account Status = Enabled|Disabled",
> которую наделить смыслом - "предоставлять доступ пользователю к службам CGP
> или нет".

Можно добавить свой атрибут в пользовательскую запись и научить утилиту, использующую LDAP для аутентикации, обращать внимание на этот атрибут.
> >> 2. процедуру аутенификации в LDAP предварить внутренней функцией,
> >> проверяющей состояние почтового эккаунта, и если он запрещен, то и в
> логине
> >> к LDAP тоже отказывать. Тогда не нужно мудрить со
> >> сбросом/восстановлением/реплицированием паролей в LDAP. Минус - если у
> >> эккаунта установлена внешняя аутенификация, то это удлинит время логина к
> >> LDAP. Но IMHO плюсов больше чем минусов, а то какой смысл в "Allow to
> Use"
> >> если при этом пользователь получает доступ к своему эккаунту через LDAP.
>
> >Запись в LDAP может использоваться не только для аутентикации к серверу
> >CGPro. Могут быть другие приложения, использующие эту же базу. Почему
> >настройки одной программы (CGPro) должны влиять на результаты другой
> >(например, календарного сервера)?
>
> Не должны, но ведь у вас не отдельный LDAP сервер, а интегрированный в CGP.
Может быть и внешним.

> И почему бы в таком случае не предоставить возможность синхронизировать
> некоторые параметры с базой пользователей - ведь ваша реализация LDAP-а
> возникла как расширение возможностей почтового сервера. Если бы я хотел
> получить только LDAP, то я наверное установил бы OpenLDAP и вводил бы
> аттрибут AllowUseLDAP, которым бы и управлял из своего софта.

Вот именно. С той лишь разницей, что, наверное, более половины администраторов CGP не в состоянии самостоятельно установить и настроить OpenLDAP. Для этого в CGP встроен относительно простой сервер LDAP.Но CGP "не завязан" на него - что как раз позволяет установить OpenLDAP (или любой другой сервер) для совместного с CGP использования.

-- 
Best regards,
Dmitry Akindinov - Stalker Labs


##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru>
Получено Wed Sep 19 06:37:24 2001

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:22 MSK