LDAP - zakázané atributy?

Dan Ohnesorg Dan na feld.cvut.cz
Pondělí Září 1 18:47:49 CEST 2003


Dne Mon, Sep 01, 2003 at 03:56:06PM +0200, David Hartman napsal:

> Je to presne tak jsi napsal. Je potreba se prihlasit jako uzivatel, ale 
> zapis do položek lmPassword, ntPassword, a userPassword uzivatel nema 
> (nebo alespon v mem pripade). Je potreba se prihlasit jako admin, zapsat 
> a hned se odhlasit. Neni to asi idealni reseni, ale funguje to.

Dival jsem se na to a normalne jsou prava definovana takto:

access to attrs=userpassword,lmpassword,ntpassword
        by self write
        by dn="cn=Manager,o=cvut,c=cz" write
        by * none

takze uzivatel sam tam psat muze. To ze tam muze psat neznamena, ze to muze
cist nebo ze to vidi, nicmene kdyz vim kam pisu, nemusim predtim zadne
hledani delat.

Co se tyce idealnosti, idealni neni nikdy nic, ale tohle reseni je asi tak
100x bezpecnejsi nez ruzne suid scripty spoustene z apache. Lze to jeste
vylepsit tim, ze se zavede zvlastni uzivatel, ktery bude smet menit hesla a
nic jineho a ten se bude pro prihlasovani pouzivat misto admina. Pripadne
omezit tohole uzivatele tak, ze bude moct menit hesla jen v casti stomu,
takze bude treba menit hesla beznym zakaznikum, ale uz ne spravcum site.

zdravim
dan


-- 
                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Nejztracenejsi den naseho zivota
je ten, kdy jsme se nezasmali.


Další informace o konferenci Linux