Помогите с организацией доступа к LDAP

вопрос мало касается LDAP, в названии и тэгах должен быть этот демон кэширования.

Каким образом корректнее сделать пользователя для просмотра каталога в nslcd (binddn)?

Сделай да укажи в конфиге. Как ты его назовешь твоё дело. И то и другое подойдёт. Главное этому пользователю дать права на чтение соотв. ветки, где нужная демону инфа хранится.

Спасибо за ответ. Я видимо не правильно сформулировал.

Как я понимаю, многие сервисы (в том числе и nslcd) используют для просмотра информации какую-либо учетную запись в LDAP, давать им rootDN (если им не требуется информация о паролях) не очень безопасно. Поэтому и хочу узнать, каким образом правильнее (может быть более общепринято) заводить учетки для таких нужд.

Есть вариант создавать учетки как в примере выше, а есть вариант создавать их также как обычные учетные записи пользователей (типа posixAccount). Как лучше?

Есть вариант создавать учетки как в примере выше, а есть вариант создавать их также как обычные учетные записи пользователей (типа posixAccount). Как лучше?

Не имеет значения. Если нет нужды держать uid/gid/shell/home для учетной записи - ей не нужен класс posixAccount. Кроме того можно в любой момент поменять учетную запись, добавив ей класс и атрибуты, или наоборот - удалив класс и атрибуты.

1)
Всё, что хочет как-то взаимодействовать с LDAP «использует какую-либо учетную запись». Только это называется binddn. bind - в данном случае обратиться, dn (distinguished name) - каким именем представиться серверу LDAP.

2)
«информацию о паролях» доступна не исключительно rootDN, а тому dn (binddn) кому разрешено (средствами LDAP ACL) её читать/писать. часто этот ACL выглядит так: to attrs=userPassword,userPKCS12 by self write by anonymous auth by * none
можно добавить перед by * none что-нибудь типа by cn=nslcd,ou=srv,dc=example,dc=org write

3) «учетки» не бывают обычными или не обычными - у них есть разный objectClass. думаю simplesecurityobject для таких «учеток» и придуман, по крайней мере, как я понимаю, объекты с этим классом так используют.

Спасибо большое! Все стало понятнее :)

да, еще dn (distinguished name) используется в отношении LDAP совсем не только в процессе обращения к серверу, это вообще столбовое понятие - если говорить просто, то идентификатор любого объекта. справа корень дерева, и налево пошла через запятую можно сказать цепочка по которой с правого края будет rdn (relative distinguished name) - имя собственно объекта. uid=vasya,ou=zhitely,dc=muhosransk,dc=ru

и понятия учетка как такого тоже конечно нет, всё есть объект (запись) в дереве справочника (т.е. собственно directory). а уже для запрашивающей программы объект там может являться чем она его считает. и использует для своих нужд (показывает как контакт в телефоне, или даёт залогиниться на сервер. или узнает какой ресурс примаунтить в точке монитрвания. вариантов масса).

Да, я себе примерно так все и представляю.

Изучаю по руководству администратора с http://www.pro-ldap.ru. Там все конечно достаточно подробно расписано, но нехватает примеров касающихся организации. Наподобии того о чем я спрашивал.

Сейчас как-раз разбираюсь с ACL и сразу решил убрать анонимный доступ, а всем остальным разрешить только необходимое.

Во-первых, я бы использовал как можно больше руководств.
Во-вторых, из них как можно меньше русских.)
В-третьих, я бы повременил с действиями типа всё всем запретил и т.д.