[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Cyrus-IMAP et auth via LDAP (pam_ldap ?)



> as-tu le anonymous read sur le tree ldap ? Il me semblait que cyrus
> utilisait un schema ldap non-standard qu'il fallait intégrer dans les
> schemas du serveur ldap.
J'ai essayé avant avec un autre serveur IMAP (dkimap4) avec support PAM
via pam_ldap et ça marchait pas :\
Je crois que Cyrus n'a pas de support pour LDAP en soi, mais bien pour
PAM.
Or c'est pam_ldap qui me pose problème ;-)

> J'avais déjà pratiqué le brol avec un iPlanet directory server (netscape)
> mais pas avec OpenLDAP. Mon seul gros problème (en plus des merdes PAM)
> c'est que j'avais oublié anonymous sur une partie du tree.
Oui, ça a l'air d'être un problème de ce genre.
Mais en fait, pam_ldap ne fait pas d'accès anonyme pour l'authentification.
Il utilise le dn de l'utilisateur qu'il est censé authentifier. Mais
OpenLDAP lui refuse le bind, malgré qu'il me semble avoir tout fait comme
il faut:
access to attr=userPassword
	by self write
	by anonymous auth
	by dn="cn=Admin,o=..." write
	by * none
access to *
	by dn="cn=Admin,o=..." write
	by * read
(extrait du LDAP-HOWTO).
Le "access to * by * read" devrait quand même donner accès à anonyme.

Je suppose que dans "access to attr=userPassword by self write", le
"write" signifie read+write.

Mais bon, je trouve que c'est pas très clair au niveau des mots de
passe, surtout. Comme il y a plusieurs méthodes (clair, crypt,
MD5, SHA, kerberos)... Je ne sais pas ce que LDAP utilise dans
son tree (il me semble qu'on le configure qqe part, slapd.conf ?)
ni ce que pam_ldap utilise (là, pas trouvé où configurer).

Je crois qu'il va falloir m'inscrire sur la liste pam_ldap ou cyrus...

--
  -o) / Pascal Bleser                   ATOS Origin|
  /\\ \ e-Business Platform         Aachen, Germany|
 _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
---------------------------------------------------|
rm -rf /bin/laden || cat usa >/dev/null            :
---------------------------------------------------'

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]