Rom*_*hko 5 ldap authentication pam
我在一家大公司工作,可以远程使用其中央只读 LDAP 服务器。LDAP服务器并没有允许匿名绑定。为了使用此服务器对我的小型服务器上的用户进行身份验证,我需要一个帐户来向我公开 LDAP 上的数据。通常填写帐户数据binddn和bindpw配置字段。据我了解,pam 模块通常使用binddnand登录bindpw,然后执行搜索,然后为每个愿意登录的用户绑定。
然而,服务器的管理员不喜欢向我公开所有数据。所以我的问题是:
如何在没有 binddn 帐户的情况下配置 pam?理想情况下,无需事先使用 binddn 帐户登录即可为每个用户执行直接绑定。
我想我明白你想要做什么,我认为是:
用户向您提供凭据以进行验证。
您不想通过匿名访问或使用一组标准的绑定凭据绑定到 LDAP 服务器,而是希望使用用户每次向您提供的凭据来向 LDAP 服务器进行身份验证,以便要求其进行验证那些凭证。
是这样吗?
如果是这样,那么为了使其有意义,每个用户的凭据必须是 LDAP 有效的,仅用于验证他或她自己的凭据;否则,您可以使用所提供的第一组凭据来执行明显令人恐惧的广泛搜索。如果 LDAP 服务器管理员可以将一组凭据的范围紧密地联系起来,那么他们应该能够为您提供一组标准的绑定凭据,这些凭据仅对您有权访问的用户执行搜索有效看。
你明白我的意思吗?如果您的 LDAP 服务器管理员非常擅长确定凭证可以执行的搜索范围,那么他们就具备为您提供一组合适的绑定凭证所需的技能。如果他们不是那么好,那么要求你做他们想做的事就没有意义,因为你已经拥有足够强大的资历来做他们不希望你做的事。
访问 LDAP 服务器的两种标准方法是 (1) 匿名,以及 (2) 使用服务器管理员颁发的一组凭据,这些凭据仅适合执行您需要他们执行的操作。如果服务器管理员不喜欢 (1),那么他们的工作就是为您提供合适的凭据来执行 (2)。
| 归档时间: |
|
| 查看次数: |
4941 次 |
| 最近记录: |