nss_ldap - was: SAMBA 3.0.2 PDC + (open)ldap backend

[Vancl Miroslav (QRIS)]

Zdravím !

Řešil jsem záhadné chování SAMBy 3.0.2 s ldap backendem (viz. subj: SAMBA
3.0.2 PDC + (open)ldap backend).
Pustil jsem se do zdrojáků (přidával DEBUG) a trochu experimentoval.
Výsledek:

SAMBA (smbd) při přihlašování doménového uživatele (ntadmin) volá pod
euid=smbguest (to je to záhadné RID=501) funkci getpwnam("ntadmin") s
výsledkem NULL.

Vysvětlení:
Knihovna, která dotaz řeší (libnss_ldap) má v konfiguraci, že pro ne-root
uid použije anonymní přihlášení na ldap, kdežto pro root-a použije dn:
dc=Manager,.... Slapd má v access pravidlech, že přístup k atributu
userPassword (a jiným heslům) má neomezeně jen 	Manager a self, anonymous
smí jen auth. Jenže libnss_ldap, bůhví proč, chce přečíst i userPassword a
ldap tím pádem nedá nic.

Jenže jak sto hoven ? Jistě, můžu oslabit bezpečnost na straně access
pravidel ldap serveru nebo na straně binddn pro libnss. Ale zdá se mi to
nečisté. Nejde nějak libnss ukecat, aby ten userPassword nechtěla ?

M. Vancl