1
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 13 Сентябрь 2013, 10:03:56 »
Егор, еще раз спасибо. Обязательно попробую Ваш вариант.
Просмотр сообщений
В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.
Страницы: [1]
2
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 12 Сентябрь 2013, 15:56:32 »Цитировать
Как раз по логике это неравноценная замена -- Вы ограничиваете доступ к разным частям дерева. Убедитесь, что у ab_admin есть право на запись, а у ab_reader его нет.
Егор
Права проверил, работают корректно.
Егор, помогите пожалуйста разобраться - в Вашей редакции ACL
access to dn.children="ou=addressbook,dc=example,dc=ru"
by anonymous auth
by dn="cn=ab_admin,dc=example,dc=ru" write
by dn="cn=ab_read,dc=example,dc=ru" read
by * none
slaptest ругается на первую строчку правила: "warning: no by clause(s) specified in access line"
В чем уязвимость если я использую мой вариант (с учетом того, что для разных DIT разные rootdn и разные пароли для пользователей) ?
3
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 12 Сентябрь 2013, 10:46:32 »
Заменил на dn.base="dc=example,dc=ru" и зарабтало.
По логике этого должно хватить.
Для второго DIT просто укажу другой dn.base
По логике этого должно хватить.
Для второго DIT просто укажу другой dn.base
4
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 12 Сентябрь 2013, 10:39:57 »
Егор, еще вопрос по ACL:
вот на такое правило:
access to dn.children="ou=addressbook,dc=example,dc=ru"
by anonymous auth
by dn="cn=ab_admin,dc=example,dc=ru" write
by dn="cn=ab_read,dc=example,dc=ru" read
by * none
slaptest ругается на первую строчку правила: "warning: no by clause(s) specified in access line"
Вроде все правильно указано, что ему не нравится ?
вот на такое правило:
access to dn.children="ou=addressbook,dc=example,dc=ru"
by anonymous auth
by dn="cn=ab_admin,dc=example,dc=ru" write
by dn="cn=ab_read,dc=example,dc=ru" read
by * none
slaptest ругается на первую строчку правила: "warning: no by clause(s) specified in access line"
Вроде все правильно указано, что ему не нравится ?
5
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 14:55:07 »
Егор, спасибо большое за помощь. Буду ковыряться дальше.
6
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 14:01:57 »
Егор, Вы просто читаете мои мысли )))
7
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 14:00:34 »
Сам докопался до, наверное, банальнейшего правила:
access to *
by self
by anonymous auth
by dn="uid=test,ou=addressbook,ou=services,dc=example,dc=ru" read
Где test - общий пользователь с паролем для доступа к книге на чтение. Вроде пока работает так как мне нужно.
Остался вопрос как реализовать несколько базовых уровней (для каждой органиазции). Т.е. чтобы в дереве присутствовали example.ru, primer.com и т.д.
access to *
by self
by anonymous auth
by dn="uid=test,ou=addressbook,ou=services,dc=example,dc=ru" read
Где test - общий пользователь с паролем для доступа к книге на чтение. Вроде пока работает так как мне нужно.
Остался вопрос как реализовать несколько базовых уровней (для каждой органиазции). Т.е. чтобы в дереве присутствовали example.ru, primer.com и т.д.
8
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 11:14:26 »
Под доменом я понимаю базовые уровни дерева (dc=example,dc=ru; dc=primer,dc=com).
9
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 10:40:29 »
Не секрет.
Как я это себе представляю:
есть адресная книга LDAP для нескольких организаций с доменами example.ru и primer.ru.
Пользователи каждой из организаций должны иметь доступ только к своей адресной книге и только на чтение. Также у каждой организации должен быть свой пользователь с правами на изменение всех атрибутов и добавление новых записей (только в свою книгу).
Как я это себе представляю:
есть адресная книга LDAP для нескольких организаций с доменами example.ru и primer.ru.
Пользователи каждой из организаций должны иметь доступ только к своей адресной книге и только на чтение. Также у каждой организации должен быть свой пользователь с правами на изменение всех атрибутов и добавление новых записей (только в свою книгу).
10
Access Control List (ACL) / Re: Доступ к данным LDAP
« : 11 Сентябрь 2013, 09:59:13 »
Егор, здравствуйте.
Помогите настроить ACL на следующую задачу:
LDAP будет использоваться только как адресаная книга, но для нескольких доменов. Необходимо чтобы у каждого домена был свой суперпользователь с полными правами, а другие пользователи каждого домена получали доступ к только к своей книге на чтение по паролю (мне видится просто единый отдельный пользователь с паролем только на чтение).
Текущий конфиг (пока заведен только один домен):
access to * by * write
database bdb
cachesize 200
suffix "dc=example,dc=ru"
rootdn "cn=admin,dc=example,dc=ru"
rootpw {SSHA}H08zq1G+kmYoYDGjxEAzlUhUfgxv+qom
directory /var/lib/ldap
index objectClass eq,pres
index cn,sn,uid eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
index pgpCertID,pgpKeyID,pgpKeyType,pgpUserID,pgpKeyCreateTime sub,eq
index pgpSignerID,pgpSubKeyID,pgpKeySize,pgpKeyExpireTime sub,eq
index pgpDisabled,pgpRevoked eq
index homePhone,mobile eq
index mail eq
access to attr=userPassword
by self write
by anonymous auth
by dn.base="cn=admin,dc=example,dc=ru" write
by * none
access to attrs=userPassword
by self
by anonymous auth
by dn.regex="cn=(.+),ou=ab,dc=example,dc=ru" write
access to *
by dn.regex="cn=(.+),ou=ab,dc=example,dc=ru" write
Помогите настроить ACL на следующую задачу:
LDAP будет использоваться только как адресаная книга, но для нескольких доменов. Необходимо чтобы у каждого домена был свой суперпользователь с полными правами, а другие пользователи каждого домена получали доступ к только к своей книге на чтение по паролю (мне видится просто единый отдельный пользователь с паролем только на чтение).
Текущий конфиг (пока заведен только один домен):
access to * by * write
database bdb
cachesize 200
suffix "dc=example,dc=ru"
rootdn "cn=admin,dc=example,dc=ru"
rootpw {SSHA}H08zq1G+kmYoYDGjxEAzlUhUfgxv+qom
directory /var/lib/ldap
index objectClass eq,pres
index cn,sn,uid eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
index pgpCertID,pgpKeyID,pgpKeyType,pgpUserID,pgpKeyCreateTime sub,eq
index pgpSignerID,pgpSubKeyID,pgpKeySize,pgpKeyExpireTime sub,eq
index pgpDisabled,pgpRevoked eq
index homePhone,mobile eq
index mail eq
access to attr=userPassword
by self write
by anonymous auth
by dn.base="cn=admin,dc=example,dc=ru" write
by * none
access to attrs=userPassword
by self
by anonymous auth
by dn.regex="cn=(.+),ou=ab,dc=example,dc=ru" write
access to *
by dn.regex="cn=(.+),ou=ab,dc=example,dc=ru" write
Страницы: [1]