Minimalni ACL pro OpenLDAP a overovani uzivatelu
Pavel Lisy
pali na tmapy.cz
Úterý Květen 20 13:45:17 CEST 2003
Dobry den,
pokousim se nastavit minimalni prava pri pristup do LDAPu
man ldap server LDAPSRV a klient pocitac LDAPCLIENT
Nastavil jsem na serveru tato ACL
access to attrs=userPassword,lmPassword,ntPassword
by self write
by group="cn=Domain Admins,ou=Groups,dc=hk,dc=tmapy,dc=cz" write
by anonymous auth
by * none
access to
attrs=objectClass,uid,host,uidNumber,gidNumber,homeDirectory,loginShell,gecos,desc,memberUid
by group="cn=Domain Admins,ou=Groups,dc=hk,dc=tmapy,dc=cz" write
by * read
access to dn=".*,dc=hk,dc=tmapy,dc=cz"
by dn=".*,dc=hk,dc=tmapy,dc=cz" read
by * search
Bohuzel nss_ldap v tomto pripade nemuze nacist potrebne udaje.
musim tam dat:
access to dn=".*,dc=hk,dc=tmapy,dc=cz"
by * read
Ale v tom pripade muze kdokoliv precist cokoliv, coz se mi mic nechce
povolovat. Je to vubec nejak takto mozne nastavit, nebo se s timto
stavem musim smirit.
Neexistuje k teto problematice (minimalizace prav pro LDAP) nejake
HOWTO, vse co jsem dosud precetl (a bylo toho hodne) se toho tykalo
spise okrajove.
Pavel
PS.
Mozna jen nechapu presne jak maji ACL fungovat, pri vyse zminenem
nastaveni napr.
ldapsearch -h 'mirjam' -x -s sub -b 'ou=Users,dc=hk,dc=tmapy,dc=cz'
'(uid=pali)'
nic nevypise, tj. ani udaje uid,host,uidNumber ...
Je to normalni, nebo je to chyba (pripadne kde)?
--
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.
Další informace o konferenci Linux