Да, я так уже и сделал. Подумав
, стало понятно, что сертификат и не должен проверяться на соответствие хостнейма в CN хостнейму, откуда пришел коннект, т.к. в cn может быть любая информация, и лдап не может знать, что там. Поэтому, как вариант хоть какой-то проверки, сделал в конфиге
reverse-lookup on
и
by dn.regex='^cn=([^,]+),ou=servers,o=company'
by domain.expand="$1" read
это поможет от хождения клиентов те туда, куда надо
Здравствуйте!
Посмотрите статью Андрея Коновалова (http://sysadminblog.ru/ldap/2011/02/05/besparolnaya-avtorizaciya-na-servere-openldap-s-ispolzovaniem-sasl.html) -- он как раз пишет об авторизации через SASL EXTERNAL. Поподробнее об отображении сущностей SASL в LDAP-записи можно почитать в OLAG. Если вам нужно авторизоваться из-под DN в поле Subject сертификата клиента -- этого должно хватить.
Егор
