Страница 3 из 3

СообщениеДобавлено: 18 авг 2006, 08:51
Андрей Тр. aka RH
В принципе, при определенных обстоятельствах - когда настроены политики паролей пользователей, требующие их уникальности и пр. - старые пароли хранятся в атрибуте used passwords ( такой, кажется ) - точнее, хранятся их хэши, конечно. Но сами атрибуты при этом зашифрованы ( в еДир поддерживаются шифрованные атрибуты ) - т.е. даже хэши оттуда прочитать нельзя.

СообщениеДобавлено: 18 авг 2006, 12:12
Vladimir
Ясно. Спасибо.
Придётся отказаться от идеи использования squid в кач-ве прокси-сервера.

СообщениеДобавлено: 18 авг 2006, 15:36
Андрей Тр. aka RH
Хоть у меня и маловато опыта в данной области, я бы все же ( пока что ) так категорично утверждать не стал. Например, судя по http://support.novell.com/docs/Tids/Sol ... 80726.html вполне реально настроить аутентификацию по ЛДАП используя DIGEST-MD5 ( ведь это и есть тот digest_ldap_auth ? или нет ? ) - другое дело, что придется повозиться с настройкой паролей собсно в Новелле.

В частности, как я понимаю ( из теории - на практике я лишь только настраивал Маки на работу с NDS как раз через simple, с предварительной их синхронизацией с NDS password ) нужно будет задать политики паролей и задействовать NMAS.

СообщениеДобавлено: 18 авг 2006, 18:38
Vladimir
Есть, конечно, в кузнице Novell ldapdigest, который, судя по исходнику, ничего не знает об ключе -A и, соответственно, не нуждается в хэша пароля.
Однако проект выглядит заброшенным. По крайней мере мой вопрос во всём листе единственный
http://forge.novell.com/pipermail/ldapd ... hread.html

ldapdigest использует родные линуксовые либы и под FreeBSD компилиться не хочет категорически, несмотря на то, что linux_base установлен и путь к либам прописан.
Возможно, какому-нибудь Linux-админу стоит взять на заметку этот helper.

СообщениеДобавлено: 19 авг 2006, 12:13
Михаил Григорьев
Vladimir писал(а):Возможно, какому-нибудь Linux-админу стоит взять на заметку этот helper.


Владимир, у меня собственно возник вот какой вопрос: Где вы собираетесь использовать данный вид авторизации? Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Может вам стоит посмотреть в сторону решения Ивана Левшина?

СообщениеДобавлено: 20 авг 2006, 15:25
Aleksey(ishua)
Григорьев Михаил писал(а):... Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Может вам стоит посмотреть в сторону решения Ивана Левшина?



а мне если память не изменяеть NTLM вообще поддерживает тока IE ,опера точно не поддерживает, мозила скорее всего тоже. (про почты давнлоад менегеры и подобное друго, даже думтать безсмысленно)

ээээх, решение Ивана, ждемс, пока его никто не опробовал :)

СообщениеДобавлено: 21 авг 2006, 00:56
Иван Левшин aka Ivan L.
Блин, парни... Мне уже стыдно - прям начинаю чувствовать себя БГ! Завтра дам пинка девелоперу. Еще раз (ежели не тяжко) - продублируйте письмом на ivan.cit.AT.nirhtu.ru свои пожелания. У меня в почте письма от Виктора Танина и Алексея. В течение недели, думаю, уже вышлем.

СообщениеДобавлено: 21 авг 2006, 13:27
Vladimir
Григорьев Михаил писал(а):Где вы собираетесь использовать данный вид авторизации? Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Ну, процент пользователей в нашей корпорации, которые используют менеджеры закачек, не столь велик(думаю, не более 20%).
Учитывая, что в новом flashgot включена поддержка digest аутентификации, пользователь, справившийся с установкой downlad managera, совладает и с установкой связки firefox+flashgot, если ему это действительно нужно.

Григорьев Михаил писал(а):Может вам стоит посмотреть в сторону решения Ивана Левшина?

Спасибо, смотрел :) Попробую, как только появится возможность протестить. В любом случае, два варианта - лучше чем один )

Aleksey(ishua) писал(а):а мне если память не изменяеть NTLM вообще поддерживает тока IE ,опера точно не поддерживает, мозила скорее всего тоже. (про почты давнлоад менегеры и подобное друго, даже думтать безсмысленно)

Firefox и Mozilla поддерживает NTLM аутентификацию,
К тому же, как я понял, есть и обходной путь.
Opera с 9-ой версии поддерживает NTLM. Хотя, пишут, оно там не всё гладко; но баги имеют тенденцию исправляться патчами и свежими билдами ==> Multiple improvements and bug fixes in NTLM support. NTLM now works through HTTP proxy..

СообщениеДобавлено: 22 авг 2006, 15:42
Vladimir
Григорьев Михаил писал(а):Ни в каком, пароль прочитать нельзя ни в каком его виде!


Сорри, я был невнимателен. После повторного чтения документации я обнаружил, что Your Universal Password should be enabled and the policy should allow admin users to extract passwords.
Получается, администратор всё-таки может извлекать пароль(или его хэш) после проведения соответствующих манипуляций с NMAS.

Добавление:
Чтобы включить universal password нужна NetWare 6.5. Ну их нафиг, этих мормонов.

СообщениеДобавлено: 22 авг 2006, 15:59
Андрей Тр. aka RH
Андрей Тр. aka RH писал(а):придется повозиться с настройкой паролей собсно в Новелле .. нужно будет задать политики паролей и задействовать NMAS.

Vladimir писал(а):Получается, администратор всё-таки может извлекать пароль(или его хэш) после проведения соответствующих манипуляций с NMAS.
Ага ..