Автор Тема: Поясните за SSF  (Прочитано 789 раз)

marawu

  • Пользователь
  • **
  • Сообщений: 76
  • !
    • Просмотр профиля
Поясните за SSF
« : 27 Октябрь 2017, 11:23:55 »
Добрый день, можете пожалуйста объяснить про SSF. Я хочу настроить ACL таким образом, чтобы нельзя было подключиться без TLS/SSL. Для примера я настроил TLS на dovecot, когда подключаюсь в логах есть следущая инфа:



Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 ACCEPT from IP=192.168.250.202:54440 (IP=0.0.0.0:636)
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 TLS established tls_ssf=256 ssf=256
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH base="ou=People,dc=domain,dc=ru" scope=2 deref=0 filter="(&(objectClass=posixAccount)(mail=user.name@domain.ru))"
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH attr=homeDirectory uidNumber gidNumber
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 op=4 UNBIND
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 fd=13 closed


BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0 - правильно ли я понимаю, что тут неиспользуется TLS? И если я запрещу в ACL доступ без TLS, то работать ничего не будет?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 432
    • Просмотр профиля
Re: Поясните за SSF
« Ответ #1 : 27 Октябрь 2017, 11:56:22 »
Скорее всего, TLS используется:
Цитировать
conn=1002 fd=13 TLS established tls_ssf=256 ssf=256
и далее все операции уже в рамках этого соединения 1002.

А ssf=0 в
Цитировать
conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
относится к использованию небезопасного механизма Simple Bind.

Я не писал ACL с ssf, но Вы можете сами попробовать указать что-то вроде
by ssf=0 none
Только напишите, что получилось.

Егор

marawu

  • Пользователь
  • **
  • Сообщений: 76
  • !
    • Просмотр профиля
Re: Поясните за SSF
« Ответ #2 : 30 Октябрь 2017, 09:44:48 »

Только напишите, что получилось.

Егор

Не получилось по Вашему примеру:

modifying entry "olcDatabase={1}mdb,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1

Пробовал прописать by ssf=0 * none, такая же беда, работает только если указывать в правиле, наподобие:

olcAccess: to attrs=userPassword
  by self write
  by ssf=64 anonymous auth

Поставил для теста в одной из строчке ACL, где разрешено искать пользователей для специальных юзеров ssf=256, вроде работает, но прописывать для каждой строки ACL уровень ssf это конечно такое себе