[gull] Question autour de LDAP et PAM
Anne Possoz
anne.possoz at epfl.ch
Sun Jun 19 23:02:01 CEST 2005
On Thu, Fri, 17 Jun 2005 10:17:49 +0200, Marc SCHAEFER a écrit:
> On Thu, Jun 16, 2005 at 04:21:16PM +0200, Michela Spada wrote:
> > Le problème est que je n'ai pas accès au serveur ldap et que
> > l'exportation de /etc/shadow est exclue...
>
> Sous quelle plateforme tourne le serveur LDAP ? De quelle
> implémentation s'agit-il ?
>
> Effectivement, l'alternative `proxy/cache LDAP' semble une bonne idée
> alors dans votre cas:
>
> http://www.bind9.net/manual/openldap/2.2/proxycache.html
>
> par contre, je ne sais pas si cela sert à quelque chose pour les
> *vérifications* de mot de passe, ne me souvenant plus comment elles sont
> implémentées.
>
> (PS: je ne connais pas trop l'organisation interne LDAP/Kerberos de
> l'EPFL, donc si vous aviez envie d'en parler et que cela ne viole pas un
> NDA éventuel cela m'intéresserait.)
Pour LDAP, c'est OpenLdap qui tourne sous Linux (présenté par Claude
Lecommandeur lors de son cours au Gull).
Une politique interne interdit que les mot de passe de l'annuaire
soient exportés (i.e.circulent sur le réseau) ce qui semble une bonne
mesure de sécurité. C'est donc l'annuaire lui-même qui doit faire
l'authentification.
Un article de Claude sur LDAP et les comptes Unix:
http://ditwww.epfl.ch/publications-spip/article.php3?id_article=213
et plus généralement en ce qui concerne l'authentification:
http://dit.epfl.ch/page48683.html
Pour le reste du problème de Michela, il me passe au-dessus de la tête.
Anne
--
Anne Possoz, Domaine IT-GE Espace logiciel libre à l'Ecole
Ecole Polytechnique Fédérale de Lausanne, 1015 Lausanne (Switzerland)
More information about the gull
mailing list