Обеспечение userPassword доступ с OpenLDAP в RHEL
Любой ценой сравнительный тест и использование, что информация, чтобы помочь Вам принять решение, но если бы это была моя система, я также уделил бы некоторое внимание долгосрочному обслуживанию. В зависимости от то, что необходимо сделать это, может быть легче управлять вещами, если существует структура каталогов вместо всего в одном каталоге.
pam_ldap не должен пытаться считать значение userPassword для входа Вас в - Оно регистрируется, Вы в путем выполнения LDAP связываете с DN, который оно получает.
Возможно, что поисковые параметры pam_ldap использование сверхшироки, и это пытается вытянуть userPassword в результате, но если Ваш ACL настраивается правильно (выглядит хорошо мне), это не получит то значение в своих результатах.
На всякий случай Ваши ACLs не прекрасны (я, как было известно, пропустил глупо очевидный материал прежде), вот является рабочий список ACL от моего производства средой LDAP :)
# Access and Security Restrictions
# (Most restrictive entries first)
access to attrs=userPassword
by self write
by dn.sub="ou=sync,dc=mydomain,dc=com" read
by anonymous auth
by users none
access to * by * read
Запаздывание access to * by * read важно, я не видел его в Ваших примерах, таким образом, я не уверен, отсутствует ли это или просто опущенное от Вашего отрывка.
sync строка для моего сервиса синхронизации LDAP и не необходима, если Вы не делаете репликации...
-
1У меня на самом деле был доступ к * сам запись пользователями, считанными * ни один вместо " доступ к * * read". очевидно, " * none" был тем, что вызывало мою проблему. I' d часто комментировал это, в этом случае я пропускал " доступ к *..." который, как Вы упоминаете, важен (я didn' t знают, что - поэтому думает для получения информации). Добавление, которое работало.Спасибо! – Cooper 12 February 2010 в 23:53