CGatePro: Re: Re: Squid Ldap

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Fri 28 May 2004 - 18:29:09 MSD

On Fri, 28 May 2004 14:04:13 +0400 (MSD) <CGatePro@mx.ru> (Alexander V Alekseev) wrote:
> Hello!
>
> On Fri, 28 May 2004 CGatePro@mx.ru wrote:
>
> > Я надеюсь, Вы делаете не так, как делали авторы всевозможных фриваре
> > (включая Нетскапе и Сан), которые аутентикацию через LDAP делали путем
> > ПОИСКА записи с uid=username (при этом наплевав, в каком поддереве это
> >могло
> > найтись), а потом пытались вытащить оттуда пароль ручками и сравнить
> >сами?
> >
> > Я надеюсь, Вы делаете нормально, то есть формируете DN:
> > uid=username,cn=domain.com и пытаетесь выполнить BIND операцию с этим DN
> >и
> > паролем пользователе, как BIND DN?
> >
> > Заметим, что при этом Вам вовсе не обязательно хранить пароль в
> >Directory.
> А не могли бы вы подсказать, как при этом должны
> аутентифицироваться пользователи по CRAM-MD5 (RFC 2195) и подобным
> протоколам?

То есть? Как по стандарту положено - так и должны. Там есть "нюансы", однако.

Как раз для поля 'password' из самой записи ничего кроме простого (PLAIN) логина не поддерживается. То есть,грубо говоря - оно может только сравнить пароль с запросом в BIND со значением поля userPassword из записи.

Однако:
а) Вы можете указать BINDDN не как uid=user,cn=domain.com, а как mail=user@domain.com (см. описание LDAP модуля). При этом будет проверяться не userPassword из записи, а пароль account-а user@domain.com, и там будут работать те же методы (CRAM-MD5, Digest-MD5, NTLM), что и для "нормальных" протоколов. Даже Керберос со следующей версии должен по идее работать.

б) Вы можете оставить BINNDN в стандартном виде uid=user,cn=domain.com, но включить опцию LDAP provisioning. Тогда все обращения (создать запись, удалить, обновить, переименовать, проверить пароль (BIND)) - к "хорошим" DN будет превращены в запросы к аккаунту, и опять же все будет работать как в других протоколах (СRAM_MD5 тоже будет работать)
>
> Bye. Alex.
>
>
> --
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>

Sincerely,
Vladimir Получено Fri May 28 14:29:14 2004

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:06 MSK