Форум проекта Pro-LDAP.ru

Общие вопросы по LDAP => Общий раздел => Тема начата: marawu от 27 Октябрь 2017, 11:23:55

Название: Поясните за SSF
Отправлено: marawu от 27 Октябрь 2017, 11:23:55

Добрый день, можете пожалуйста объяснить про SSF. Я хочу настроить ACL таким образом, чтобы нельзя было подключиться без TLS/SSL. Для примера я настроил TLS на dovecot, когда подключаюсь в логах есть следущая инфа:

Код: [Выделить]


Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 ACCEPT from IP=192.168.250.202:54440 (IP=0.0.0.0:636)
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 TLS established tls_ssf=256 ssf=256
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH base="ou=People,dc=domain,dc=ru" scope=2 deref=0 filter="(&(objectClass=posixAccount)(mail=user.name@domain.ru))"
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH attr=homeDirectory uidNumber gidNumber
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 op=4 UNBIND
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 fd=13 closed


BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0 - правильно ли я понимаю, что тут неиспользуется TLS? И если я запрещу в ACL доступ без TLS, то работать ничего не будет?

Название: Re: Поясните за SSF
Отправлено: egor от 27 Октябрь 2017, 11:56:22

Скорее всего, TLS используется:

Цитировать

conn=1002 fd=13 TLS established tls_ssf=256 ssf=256

и далее все операции уже в рамках этого соединения 1002.

А ssf=0 в

Цитировать

conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0

относится к использованию небезопасного механизма Simple Bind.

Я не писал ACL с ssf, но Вы можете сами попробовать указать что-то вроде

Код: [Выделить]

by ssf=0 none
Только напишите, что получилось.

Егор

Название: Re: Поясните за SSF
Отправлено: marawu от 30 Октябрь 2017, 09:44:48

Цитата: egor от 27 Октябрь 2017, 11:56:22

Только напишите, что получилось.

Егор

Не получилось по Вашему примеру:

Код: [Выделить]

modifying entry "olcDatabase={1}mdb,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1

Пробовал прописать by ssf=0 * none, такая же беда, работает только если указывать в правиле, наподобие:

Код: [Выделить]

olcAccess: to attrs=userPassword
  by self write
  by ssf=64 anonymous auth

Поставил для теста в одной из строчке ACL, где разрешено искать пользователей для специальных юзеров ssf=256, вроде работает, но прописывать для каждой строки ACL уровень ssf это конечно такое себе