Сообщения

1

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 29 Май 2013, 23:21:17 »

Егор, доброго времени суток!

Спасибо Вам огромное за помощь! Без Вас я бы еще долго разбирадся бы.

2

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 28 Май 2013, 11:27:45 »

Егор, разрешите вопрос.

Для общего развития?

Немного отлучусь назад по нашему диалогу. По правам на просмотр ldap. Я по Вашим советам сделал следующее:

Код: [Выделить]

access to *
        by self write
        by anonymous auth
        by * searchт.е. доступ на чтение и изменение только к своих данных.

Сейчас задумался, в перспективе, сделать, чтоб у конкретного пользователя были права, на чтение всей БД, у остальных на чтение запись только своих. Подскажите, как это будет выглядеть?

3

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 28 Май 2013, 10:44:45 »

Егор, доброго времени суток!

Наконец-то снова дошли руки до настройки.

Все успешно настроил, в LAM оказывается все это делается в настройках самого приложения, выставил нужные параметры = политикам установленным на сервере и все!!!

Еще раз спасибо!!!

4

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 21 Май 2013, 06:42:56 »

Егор, добрый день!

Огромное спасибо, благодаря Вашему совету и подробному описанию, мне удалось победить в данном направлении LDAP!

Но теперь следующая проблема встала предо мной, в консоли все здорово работает, а вот если через клиент (сейчас я использую LDAP Account Manager) могу менять пароль на какой угодно, правила не работают. Подскажите, что можно сделать, чтоб правило работало и в клиенте?

5

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 14 Май 2013, 15:17:01 »

Егор, подскажите, пожалуйста, с какими параметрами собирали?

6

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 11 Май 2013, 22:23:10 »

Егор, доброго Вам времени суток!

Сначала с прошедшими Вас праздниками!!!

В общем возвращаюсь к вопросу, т.к. не было времени заниматься, появлялись другие приоритетные задачи!!!
По Вашей рекомендации, последней:

Код: [Выделить]

dn: cn=PPolicy Default,ou=System,dc=mycompany,dc=ru
objectClass: applicationProcess
objectClass: pwdPolicy
objectClass: pwdPolicyChecker
cn: PPolicy Default
pwdAttribute: 2.5.4.35
pwdInHistory: 3
pwdCheckModule: check_password.so
pwdCheckQuality: 1

Спасибо! Удалось добавить.
Пытаюсь поставить готовый пакет, но не получается, хочет openldap-ltb. Когда пытаюсь поставить open-ltb.ругается на openldap-servers
Что можете посоветовать?

Позже нашел, вот этот пакет, вроде тоже похоже. Но все сделал, но так и не работает!

7

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 03 Май 2013, 02:53:00 »

Егор, доброго времени суток!

Вроде что-то начало получаться, но есть снова проблемы. Что сделал:
1) Проверил схему - применена
2) Подключение модуля ppolicy:

Код: [Выделить]

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib/openldap
olcModuleLoad: ppolicy.la3) Установил библиотеку
check_password.so
Сразу же настроил ее
4) Наложение политики:

Код: [Выделить]

dn: olcOverlay=ppolicy,olcDatabase={2}bdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=PPolicy Default,ou=System,dc=mycompany,dc=ru
5) Политика:

Код: [Выделить]

dn: cn=PPolicy Default,ou=System,dc=mycompany,dc=ru
objectClass: applicationProcess
objectClass: pwdPolicy
cn: PPolicy Default
pwdAttribute: 2.5.4.35
pwdInHistory: 3
pwdCheckModule: check_password.so
pwdCheckQuality: 1
При добавлении в базу самой политики вот что:

Код: [Выделить]

# ldapadd -x -W -D cn=config -f ppolicyDefault.ldif
Enter LDAP Password:
adding new entry "cn=PPolicy Default,ou=System,dc=mycompany,dc=ru"
ldap_add: Object class violation (65)
        additional info: attribute 'pwdCheckModule' not allowed

В чем может быть причина? Из-за чего он не может найти атрибут pwdCheckModule?

8

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 30 Апрель 2013, 13:25:47 »

Егор, не подскажешь, сейчас пытаюсь наложить политику, он мне выдает:

Код: [Выделить]

  ldapadd -x -W -D cn=config -f policyAdd.ldif
Enter LDAP Password:
adding new entry "olcOverlay=ppolicy,olcDatabase={1}bdb,cn=config"
ldap_add: Invalid syntax (21)
        additional info: objectClass: value #0 invalid per syntax

Наложение политики, взял из Вашего поста.

9

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 29 Апрель 2013, 23:15:58 »

Доброго времени суток!

В общем покопал и как я понял, то для реализации задуманного, чтоб пароль состоял из 6-ти символов и только буквы большие и маленькие, то используются след аттрибуты:
1) pwdMinLength - для определения длины
2) pwdCheckQuality и pwdCheckModule - для выставления нестандартного расширения политик, в моем случае это большие и маленькие буквы.

С первым вроде более менее понятно, а вот со вторым сложнее - не нашел никакого нормального описания.

Может что посоветуете?

10

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 27 Апрель 2013, 11:19:35 »

Егор, спасибо! Буду разбираться. Если возникнут вопросы, буду задавать!

Еще раз спасибо Вам за помощь!

11

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 27 Апрель 2013, 02:00:45 »

Егор, разрешите еще раз потревожить!

Вот раз уж я уже разрешил пользователям редактировать пароль, далее тут подумал, а почему бы не попробовать подключить проверку формата измененного пароля, ну например, думаю формат такой: от 6-ти символов, и только большие и маленькие буквы?

Подскажите, пожалуйста, возможно ли такое реализовать? Если да, то как, как-то  включить проверку устанавливаемого пароля по регэкспу?

12

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 25 Апрель 2013, 21:08:42 »

Егор, спасибо огромное!

13

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 25 Апрель 2013, 13:31:31 »

А как реализовать, пользователь имел возможность все свои данные редактировать, а остальных не видел!

Что-то не получилось у меня!

14

Access Control List (ACL) / Re: Доступ к данным LDAP

« : 20 Апрель 2013, 16:30:19 »

Егор, спасибо большое! По первому варианту удалось, все получилось! Получается авторизованные пользователи могут редактировать только свой пароль! Остальное на чтение!

А подскажите пожалуйста, как сделать, чтоб они видели только свою учетку, я пользуюсь phpldapadmin. После авторизации, они видят всю БД LDAP, а хочется чтоб только свою учетку!

Или может посоветуете еще более удобный клиет, желательно web-интерфейс.

15

Access Control List (ACL) / Доступ к данным LDAP

« : 19 Апрель 2013, 17:18:43 »

Всем здравствуйте!

Прошу помощи в решении задачи, я новичок в освоении LDAP, но задача срочная.

Необходимо настроить доступ к данным LDAP так, чтобы у суперпользователя -- на редактирование всех записей, а у пользователей -- просмотр только своих данных и редактирование только пароля!

Заранее благодарен за ответы и советы!