пятница, 4 апреля 2008 г.

nss-ldapd, реинкарнация детища padl

У оригинального libnss-ldap есть серьезный недостаток при работе с gssapi - любому пользователю, желающему ознакомиться со списком пользователей, требуется предоставить билет kerberos. Второй вариант - дать всем читать билет, которым будет пользоваться libnss-ldap. Первое это нереально - ну откуда у dbus свой билет? Второе просто уже тупо как то - зачем вообще тогда весь этот лес?

nss-ldapd решает эту проблему. Возможно, ее автор хотел решить какие то другие проблемы, но меня волновала эта. Эта версия состоит из двух частей - демона, который собственно имеет билет и общается с ldap, и клиента, который просто обащается с демоном в пределах одной машины. Разом снимает головную боль с билетами.

Приведу элементарную настройку на работу с kerberos:

uri ldap://kdc.realm.tld
base dc=realm,dc=tld
ldap_version 3
scope sub
use_sasl on
krb5_ccname FILE:/tmp/krb5cc_0


Кстати в kinit (Heimdal последних версий) есть возможность обновлять билет, до тех пор пока работает программа, переданная в качестве параметра.
То есть можно поправить стартовый скрипт nslcd, и билет будет обновляться автоматически.

Комментариев нет: