OpenLDAP. Конфигурация сервера для доступа

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

OpenLDAP. Конфигурация сервера для доступа

Сообщение Игорь Вершинин » 29 янв 2007, 14:36

Так как настраивать надо все вручную (нет, к сожалению мощи eDir), то вопрос. У кого и как настроено ограничение доступа в slapd.conf?

Вот эти записи позволяют нормально работать и авторизоваться.
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by * read

но как мне найти разумный компромис между безопасностью и доступностью. Хочется оставить авторизацию через LDAP, просмотр информации для почтовых клиентов, но все другое скрыть от неавторизированного пользователя. Как это сотворить?
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Михаил Григорьев » 30 янв 2007, 16:15

Работаю с OpenLDAP уже наверно года 4 но по прежнему написание ACL И принцип их работы для меня загадка :-(

В версии OpenLDAP 2.3 появилась возможность хранить ACL и кучу настроек сервера непосредственно в каталоге, о чем мона покурить в ДОКЕ. Разделы 5.3.6 и 5.2.7.12

У меня же набор ACL предельно прост:

############### ACL part written by Neo ############
access to attrs=SambaLMPassword,SambaNTPassword
by dn="cn=Manager,ou=CHEL,o=SKBKontur,c=RU" write
by self write
by * none

access to attrs=userPassword
by dn="cn=Manager,ou=CHEL,o=SKBKontur,c=RU" write
by self write
by * auth
by anonymous auth

access to *
by self write
by dn="cn=Manager,ou=CHEL,o=SKBKontur,c=RU" write
by * read
##############################################


Что мы тут написали, а все просто, мы закрыли доступ на чтение/запись анониму к атрибутам SambaLMPassword, SambaNTPassword, userPassword и дали право на запись только юзеру Manager

В итоге аноним может легко смотреть все что угодно в каталоге, кроме упомянутых 3-х аттрибутов, писать он естественно не может никуда!
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron