LDAP - zakázané atributy?
Dan Ohnesorg
Dan na feld.cvut.cz
Pondělí Září 1 18:47:49 CEST 2003
Dne Mon, Sep 01, 2003 at 03:56:06PM +0200, David Hartman napsal:
> Je to presne tak jsi napsal. Je potreba se prihlasit jako uzivatel, ale
> zapis do položek lmPassword, ntPassword, a userPassword uzivatel nema
> (nebo alespon v mem pripade). Je potreba se prihlasit jako admin, zapsat
> a hned se odhlasit. Neni to asi idealni reseni, ale funguje to.
Dival jsem se na to a normalne jsou prava definovana takto:
access to attrs=userpassword,lmpassword,ntpassword
by self write
by dn="cn=Manager,o=cvut,c=cz" write
by * none
takze uzivatel sam tam psat muze. To ze tam muze psat neznamena, ze to muze
cist nebo ze to vidi, nicmene kdyz vim kam pisu, nemusim predtim zadne
hledani delat.
Co se tyce idealnosti, idealni neni nikdy nic, ale tohle reseni je asi tak
100x bezpecnejsi nez ruzne suid scripty spoustene z apache. Lze to jeste
vylepsit tim, ze se zavede zvlastni uzivatel, ktery bude smet menit hesla a
nic jineho a ten se bude pro prihlasovani pouzivat misto admina. Pripadne
omezit tohole uzivatele tak, ze bude moct menit hesla jen v casti stomu,
takze bude treba menit hesla beznym zakaznikum, ale uz ne spravcum site.
zdravim
dan
--
________________________________________
DDDDDD
DD DD Dan Ohnesorg, supervisor on POWER
DD OOOO Dan na feld.cvut.cz
DD OODDOO Dep. of Power Engineering
DDDDDD OO CTU FEL Prague, Bohemia
OO OO work: +420 2 24352785;+420 2 24972109
OOOO home: +420 311 679679;+420 311 679311
________________________________________
Nejztracenejsi den naseho zivota
je ten, kdy jsme se nezasmali.
Další informace o konferenci Linux