nss_ldap - was: SAMBA 3.0.2 PDC + (open)ldap backend
Vancl Miroslav (QRIS)
Miroslav.Vancl na qris.cz
Středa Únor 25 13:54:58 CET 2004
Zdravím !
Řešil jsem záhadné chování SAMBy 3.0.2 s ldap backendem (viz. subj: SAMBA
3.0.2 PDC + (open)ldap backend).
Pustil jsem se do zdrojáků (přidával DEBUG) a trochu experimentoval.
Výsledek:
SAMBA (smbd) při přihlašování doménového uživatele (ntadmin) volá pod
euid=smbguest (to je to záhadné RID=501) funkci getpwnam("ntadmin") s
výsledkem NULL.
Vysvětlení:
Knihovna, která dotaz řeší (libnss_ldap) má v konfiguraci, že pro ne-root
uid použije anonymní přihlášení na ldap, kdežto pro root-a použije dn:
dc=Manager,.... Slapd má v access pravidlech, že přístup k atributu
userPassword (a jiným heslům) má neomezeně jen Manager a self, anonymous
smí jen auth. Jenže libnss_ldap, bůhví proč, chce přečíst i userPassword a
ldap tím pádem nedá nic.
Jenže jak sto hoven ? Jistě, můžu oslabit bezpečnost na straně access
pravidel ldap serveru nebo na straně binddn pro libnss. Ale zdá se mi to
nečisté. Nejde nějak libnss ukecat, aby ten userPassword nechtěla ?
M. Vancl
Další informace o konferenci Linux