Вопросы Теги

Как отключить учетную запись LDAP?

Просто идеи:

Прежде всего используйте систему управления версиями. По крайней мере, тот путь история файла сохранен. Если что-то происходит с файлом, можно всегда возвращаться изменения.

Во-вторых, я могу рассмотреть использование DVCS как мерзавец или базар. Используя DVCS допускает рабочий процесс, где разработчики могут перейти полный репозиторий. Они могут файлы контроля, файлы фиксации, тег, слияние, и т.д. все в их собственном ответвлении, независимом от всех остальных. Затем сохраните основную соединительную линию repo на защищенном сервере, где только у привратника есть доступ. Разработчики могут объединить изменения от соединительной линии, но только выбор у немногих есть доступ для согласия на соединительную линию. Привратник может также быть автоматизированным сервисом, таким как PQM или некоторый другой инструмент управления исправлениями.

В-третьих, резервное копирование может быть хитрым предметом. Вещи как "Вы хотят физические хранившие резервные копии?" "Вы хотите зеркальный сервер?" "Насколько большой Ваш репозиторий?" "В каком количестве безопасности я нуждаюсь?" Я не думаю, что могу ответить, что некоторые из них подвергают сомнению для Вас, но необходимо принять их во внимание при разработке плана резервного копирования.

И нет, Вы не параноики..., это вещи, каждая компания-разработчик программного обеспечения должна иметь дело с... своим Вашим IP, необходимо защитить его.

6
задан 3 September 2010 в 10:56
3 ответа

Heh.

Unix/Linux и стандартизованный способ, чтобы сделать что-то. Забавный парень Вы. Я знаю, я знаю, во многих случаях существуют стандартные способы сделать вещи, но LDAP, конечно, не является одним из них. LDAP рифмует с девизом Perl, "существует больше чем один способ сделать это".

Та же конвенция, чем в/etc/passwd (или, в/etc/shadow, чтобы быть точной) будет работать. Undernearth Ваша система использует PAM (для аутентификации) и библиотеки NSS (для поиска имени) для разрешения сведений об учетной записи и для приложений пространства пользователя, это прозрачно, если результат прибыл от pam_ldap, pam_mysql, nss_files, nss_bdb, nss_mysql, nss_ldap или некоторый другой источник, пока это находится в стандартной форме.

Так, когда дело доходит до LDAP...

  • Некоторым нравится писать их собственные сценарии, использующие ldapmodify
  • Другие используют графические клиенты, такие как GQ или Luma
  • Другие используют Perl и Сеть:: LDAP или другие языки сценариев и их привязка LDAP
  • Другие используют PHPMyAdmin и подобные веб-интерфейсы

Каков Ваш предпочтительный путь? При использовании команды passwd затем просто необходимо сцепить систему с pam_ldap и nss_ldap. Затем все знакомые утилиты продолжат работать, как обычно.

3
ответ дан 3 December 2019 в 00:20
  • 1
    , Как это решает проблему отключения конкретных учетных записей в LDAP так, чтобы PAM распознал их, как отключено? –  Fladi 1 September 2010 в 12:22
  • 2
    "Та же конвенция, чем в/etc/passwd (или, в/etc/shadow, чтобы быть точным) будет работать". строка, которая помогает. Если у Raphaël уже есть метод для добавления префикса старых паролей с!, затем я просто ответил на его вопрос. Как Ваш комментарий помогает ему? :-) –  Janne Pikkarainen 1 September 2010 в 12:25

Нет никакого стандартного пути, но существует несколько способов выполнить это, при этом каждый - параметр конфигурации в ldap.conf (или pam-ldap.conf в зависимости от Вашего распределения и их pam_ldap настроек времени изготовления):

pam_filter: Используйте пользовательский фильтр вместе с атрибутом в LDAP, который обозначает неактивный счет.

pam_check_host_attr: pam_ldap проверит, существует ли атрибут "хоста" соответствия на пользовательском объекте. При реализации его этот путь, Вы могли бы просто удалить/добавить имя хоста к этому атрибуту, если пользователь должен смочь войти в систему. Это не коснулось бы его пароля.

pam_check_service_attr: еще не использовали это, но должен работать похожим способом pam_check_host_attr.

3
ответ дан 3 December 2019 в 00:20

Вам может быть интересно попробовать slapo-ppolicy (оверлей политики паролей), как предполагает здесь . Это действительно своего рода стандарт , хотя это может быть немного чересчур для того, что вы пытаетесь сделать. В частности, интересный атрибут 

pwdAccountLockedTime

   This attribute contains the time that the user's  account  was  locked.
   If  the  account has been locked, the password may no longer be used to
   authenticate the user to the directory.  If pwdAccountLockedTime is set
   to  000001010000Z,  the  user's account has been permanently locked and
   may only be unlocked by an administrator.
3
ответ дан 3 December 2019 в 00:20

Теги

Похожие вопросы