ldap и несколько простейших операций

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

ldap и несколько простейших операций

Непрочитанное сообщение skeletor » 2010-06-29 15:37:35

Начал изучать ldap. Возникли некоторые трудности на начальном этапе.
В корне есть 2 подкаталога: book и people. Нужно сделать такое:

1) в конфиге ldap'a разрешить доступ только admin'y ldap'a, юзерам book_rw, book_ro, people_ro соответственно к каталогам book, people соответствующими правами:

book_rw --> book (read/write access)
book_ro --> book (read only access)
people_rw --> people (write access)

то есть пользователь book_rw/book_ro вообще не должен иметь доступ к подкаталогу people и наоборот.

Остальным вообще запретить доступ к каталогу полностью.

2) как правильно создать юзера и назначить ему права на определённый каталог?

3) Если я правильно понял, то создав юзера в подкаталоге users, выше этого подкаталога доступ он не получит? Или нужно отдельно выставлять доступы?

Пробовал через phpldapadmin, lam но захотелось именно через консольку. В любом случае, каким способом лучше всего это делать?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: ldap и несколько простейших операций

Непрочитанное сообщение Morty » 2010-06-29 23:51:58

пишу по памяти , так что может где-то быть нестыковка ;-)
---
1) юзеров(cn,юзерский(login/passwd)) поидее можно где угодно создавать , хоть в корне хоть в каждом OU,
думаю можно даже для "своих системных" юхеров создать отдельно OU и туда занести
2) права вписываешь в slapd.conf
3) приблизительно так
---
пользаки в своем ОУ(допустим):

Код: Выделить всё

ou=sysusers,dc=myldap,dc=lan
=>book_rw
=>book_ro
=book_rw
Тогда права раздаем так :

Код: Выделить всё

access to dn.subtree="ou=book, ...."
               by dn="cn=book_ro,ou=sysusers,dc=myldap,dc=lan" read
               by dn="cn=book_rw,ou=sysusers,dc=myldap,dc=lan" write
               by anonymous auth
               by * none
тоесть кому откуда и как, анонимам просить авториз, остальных в сад
people_rw описываеться аналогично

rootdn опысываешь как доступ ко всему

Код: Выделить всё

access to *
           by dn="cn=roodnname, ..." write
           by anonymous auth
           by * none
PS: помню была какая-то у меня проблема с этими правами советую почитать на оф документации(http://www.openldap.org/) по поводу этих прав а именно описание и в чем разница между acces to dn.subtree и access to dn.base возможно гдето понадобиться

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ldap и несколько простейших операций

Непрочитанное сообщение skeletor » 2010-07-02 10:54:31

Спасибо частично получилось. Не получается дать права на запись. Сейчас у меня настроено так:

Код: Выделить всё

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read

access to attrs=userPassword
    by self read
    by anonymous auth

access to dn.subtree="ou=addressbook,dc=domain,dc=lin"
    by dn="cn=book_ro,ou=people,dc=domain,dc=lin" read
    by dn="cn=book_rw,ou=people,dc=domain,dc=lin" write
    by self write
    by * auth

access to *
    by dn="cn=admin,dc=domain,dc=lin" write
    by anonymous auth
    by users read
    by * none
Но пользователь book_rw не может писать в каталог ou=addressbook,dc=domain,dc=lin. В чём может быть ошибка?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

damns
проходил мимо
Сообщения: 7
Зарегистрирован: 2009-04-17 18:57:59

Re: ldap и несколько простейших операций

Непрочитанное сообщение damns » 2010-07-02 11:58:26

skeletor писал(а):Но пользователь book_rw не может писать в каталог ou=addressbook,dc=domain,dc=lin. В чём может быть ошибка?

Код: Выделить всё

access to dn.subtree="ou=addressbook,dc=domain,dc=lin"
Права назначены на поддерево а не на ДН

Код: Выделить всё

access to dn="ou=addressbook,dc=domain,dc=lin"
Вот так будет писать

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ldap и несколько простейших операций

Непрочитанное сообщение skeletor » 2010-07-02 12:33:50

Всё равно не пишет :( Конфиг уже несколько раз перечитывал.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ldap и несколько простейших операций

Непрочитанное сообщение skeletor » 2010-07-02 13:16:19

Заработало когда оставил обе конструкции. Спасибо за помощь.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"