Проблема с OpenID, это является большим для вещей как ServerFault, где уровень доверия в чьих-то идентификационных данных не является действительно соображением - после того как Вы начинаете заботиться, это - то, где жизнь является сложной.
Это сложно, потому что, когда я управляю своим поставщиком аутентификации, я слепо доверяю тому поставщику, потому что я выполняю его и по-видимому реализовал его к стандарту, которого я требую. Когда я перемещаю аутентификацию за пределами своего управления, я теперь должен присвоить уровень доверия поставщику аутентификации также.
В моем работодателе, согласно закону, я не могу доверять НИКАКОМУ крупному поставщику OpenID там потому что:
Это не всесторонний список каким-либо образом.
Чтобы заставить OpenID работать на нетривиальные приложения, я нуждаюсь в доверяемом поставщике - и должен ограничить моих пользователей тем доверяемым поставщиком (или поставщиками). Такие поражения целое "единственное имя пользователя/пароль" преимущество. Даже затем я, возможно, все еще должен сделать некоторую проверку идентификационных данных для пользователей на более высоких доверительных уровнях. Походит на большую работу мне, особенно когда управление Вашим собственным поставщиком аутентификации не является аэрокосмическими исследованиями.
IMO, у правительств есть потенциал, чтобы заставить эту технологию работать. Если бы DMV состояния/провинциальный или почтовое отделение предложили услугу, где граждане устанавливают учетные данные онлайн, доступные через OpenID, Вы смогли бы доверять Почтовому отделению/DMV учетные данные. (Поскольку правительство заявляет: 'Необходимо доверять нам'), я полагаю, что страны как Норвегия и Дания уже выпускают отдельные учетные данные PKI.
Поскольку действительно хорошие OpenLDAP поддерживают в соответствии с FreeBSD, Вам нужно:
добавьте следующее к /etc/pam.d/sshd
auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass
account required /usr/local/lib/pam_ldap.so ignore_authinfo_unavail ignore_unknown_user
session required /usr/local/lib/pam_mkhomedir.so debug mode=0755 skel=/usr/local/share/skel
кому: /etc/pam.d/system
добавить
auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass
account required /usr/local/lib/pam_ldap.so ignore_authinfo_unavail ignore_unknown_user
session required /usr/local/lib/pam_mkhomedir.so debug umask=0077 skel=/usr/local/share/skel
password sufficient /usr/local/lib/pam_ldap.so use_authok
группа замены passwd и sudoers в /etc/nsswitch.conf
следующим:
group: files cache ldap
passwd: files cache ldap
sudoers: files cache ldap
Также необходимо изменить