LDAP - autentizovany pristup

[Jan Kasprzak]

	Dalsi davka dotazu ohledne LDAPu, tentokrat v souvislosti
s pristupovymi pravy. Mam snahu ovlivnit kdo se pripojuje na muj
LDAP server. Experimentuju na databazi UNIXovych skupin, kde me az tak
neboli chvilkova nefunkcnost. Do slapd.conf jsem dal

access to dn=".*,ou=Group,dc=fi,dc=muni,dc=cz"
        by dn="cn=nejaky_uzivatel,dc=fi,dc=muni,dc=cz" write
        by domain=".*\.fi\.muni\.cz" read

	A po restartu LDAPu mi klienti (kteri maji prokazatelne dobry
reverzni i dopredny DNS zaznam -- sleuth neprotestuje) nejsou schopni
prekladat GID na jmeno. Kdyz zmenim posledni radek na "by domain=.* read",
tak to funguje. Kde je neco spatne?

	A druhy dotaz se tyka toho radku nad tim. Mam snahu do toho
seznamu skupin cpat data automaticky z nejakeho skriptu pres ldapmodify,
a nechci mit rootovske heslo do LDAPu v tom skriptu. Takze jsem si rekl
ze udelam nejakeho uzivatele jen pro ucely modifikace seznamu skupin
z tohoto skriptu. Otazka je, co vlastne ma byt
"cn=nejaky_uzivatel,dc=fi,dc=muni,dc=cz" za zaznam. account? posixAccount?
v jake podobe tam ma byt heslo? Neni na tohle nekde nejaky priklad?
Kdyz jsem vytvoril account/posixAccount, tak nejsem schopen zadat tam
heslo ktere funguje. Mam snahu pouzit atribut userPassword s hodnotou
vygenerovanou pomoci crypt(3), ale tohle neni ono - nemuzu se prihlasit.
Jaky objekt a s jakym heslem ma vlastne byt to cn=nejaky_uzivatel,... ?

	Diky,

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
|-- If you start doing things because you hate others and want to screw  --|
|-- them over the end result is bad.   --Linus Torvalds to the BBC News  --|