Hello!
On Fri, 28 May 2004 CGatePro@mx.ru wrote:
> То есть? Как по стандарту положено - так и должны. Там есть "нюансы",
> однако.
>
> Как раз для поля 'password' из самой записи ничего кроме простого (PLAIN)
> логина не поддерживается. То есть,грубо говоря - оно может только сравнить
> пароль с запросом в BIND со значением поля userPassword из записи.
>
> Однако:
> а) Вы можете указать BINDDN не как uid=user,cn=domain.com, а как
> mail=user@domain.com (см. описание LDAP модуля). При этом будет проверяться
> не userPassword из записи, а пароль account-а user@domain.com, и там будут
> работать те же методы (CRAM-MD5, Digest-MD5, NTLM), что и для "нормальных"
> протоколов. Даже Керберос со следующей версии должен по идее работать.
>
> б) Вы можете оставить BINNDN в стандартном виде uid=user,cn=domain.com, но
> включить опцию LDAP provisioning. Тогда все обращения (создать запись,
> удалить, обновить, переименовать, проверить пароль (BIND)) - к "хорошим" DN
> будет превращены в запросы к аккаунту, и опять же все будет работать как в
> других протоколах (СRAM_MD5 тоже будет работать)
Стоп. Я наверное что-то не понимаю. Аутентифицируем абонента
перед внешней (относительно CGP) системой (тот же squid). В протоколах типа
CRAM-MD5, CHAP и пр., пароль не передается. Поэтому внешняя система (squid) его
не знает, и, при всем желании, не может сделать BIND с паролем. Как здесь обойтись без
поиска?
Bye. Alex.
--Получено Fri May 28 14:38:22 2004
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:00 MSK