[BSD] LDAP auth

[Péchy Gáspár]

Egervary Gergely írta:
>> LDAP-ot szeretnék használni ( domain, mail, nyilvántartás, auth ... ) és az authentikációk körül nem 
>> igazán értek valamit.
>>
>> - * read/search engedélyt nem adok, mert ez ugye lekérdezhetővé teszi az egész struktúrát bárkinek
>> - BIND_DN/PW megadása ( postfix, authldaprc ) szintén nem praktikus a clearpassword miatt
>>
>> - van az a lehetőség (webes bejelentkezéskor programból ezt használom), hogy az adott 
>> userid/password-del bindelek, működik.
>>
>> Létezik az hogy ezt a metódust sem a postfix, sem az autldaprc (Courier) nem ismeri/használja ?
>> Vagy van megoldás csak vak vagyok?
> 
> csinálj egy olyan LDAP accountot, aminek van jelszava,
> kizárólag search joga van, és korlátozva van a szükséges
> 1 vagy 2 darab attributumra.
> 
> ha ezt írod plaintext-ben az authldaprc-be, akkor még ha
> valahogy ki is derül a plaintext jelszó (pl. törnek egy
> root-ot a gépedre ;P akkor sem érnek vele sokat: le bírják
> kérdezni hogy xy júzer létezik-e.
> 
> én ekkor jobban aggódnék amiatt, hogy hogyan törték meg a
> gépet, hogy az authldaprc tartalmát ki bírták olvasni :)
> 

Köszönöm, ez valóban járható út lenne, ha az authldap nem akarná egyből, a kereséssel együtt szinte 
a teljes adatmennyiséget :(
Azzal indít, hogy search_base ..., filter ... attr= homedir,mailmessagestore, givenname, 
userpassword, uidNumber, mail, mailQuotasize .. grrr
Legalábbis gondolom, ha egy attr nincs engedélyezve a szabályban, a Search nem lesz páros az 
igényelt attributumok miatt.
üdv,
Gazsi