[ImoLUG] diritti slapd

virgilio pierini virgilio.pierini@gmail.com
Gio 18 Giu 2009 12:53:27 CEST


ciao
Come sapete sono un vincente. Nel senso che ogni tanto vinco cose (anche se
non vorrei).
Oggi ho vinto un server ldap e dei requisiti verbali. Non capisco se è
configurato bene; vi propongo l'intero contenuto, è breve, e provo a
commentarlo:

(lo so che vi dovrei mandare l'albero completo ma accontentatevi di questo
riassunto)

ou=area,o=azienda,c=it
--cn=reader
--cn=writer
--ou=utenti
---------uid=utente1
---------uid=utente2
--ou=altraOU1
--ou=altraOU2

access to attrs=userPassword
        by self write
        by dn="cn=reader,ou=area,o=azienda,c=it" read
        by dn="cn=writer,ou=area,o=azienda,c=it" read
        by anonymous auth
        by * none

e fin qui somiglia molto alle configurazioni canoniche
il dubbio è: non dovrei avere una riga anche per l'utente admin
(cn=admin,o=azienda,c=it) con diritto write?
la prova sul campo insegna che admin riesce a cambiare le password.
il requisito verbale è che ciascuno possa cambiarsi la propria password: è
soddisfatto da questa regola? perchè gli utenti mi segnalano problemi
(figurati se mi hanno mandato l'errore esatto, vabbè lamentele da
sistemista)

poi:

access to dn.children="ou=area,o=azienda,c=it"
        by self read
        by dn="cn=reader,ou=area,o=azienda,c=it" read
        by dn="cn=writer,ou=area,o=azienda,c=it" write

e questo non l'ho capito bene:
vuoi dire che ciascun utente può leggere il proprio nodo, reader legge
qualunque nodo (non solo i nodi con uid) e writer li scrive tutti?
e l'utente anonymous cheffà? nulla direi, giusto?
sempre in merito al requisito verbale di cambiarsi la password, non è che
gli utenti dovrebbero poter fare almeno search nell'albero? come fanno ad
arrivare (supponendo che il frontend sia tipo phpldapadmin che ti presenta
graficamente l'albero) al loro nodo?
forse ci vuole un "by users search"?


infine:
access to *
        by users read
        by dn="cn=reader,ou=area,o=azienda,c=it" search
        by dn="cn=writer,ou=area,o=azienda,c=it" search
e qui ho capito anche meno
innnazitutto qui arrivano tutte le richieste che non hanno fatto match con
le regole precedenti
tutti leggono tutti, ma i due utenti "tecnici" reader e write sono
depotenziati e hanno solo search?
ma (ho ricontrollato l'albero e il mio disegno è corretto) TUTTI I NODI SONO
FIGLI DI OU=AREA... quindi qui non ci si finisce mai


la mail è venuta lunga, non vi chiedo di impazzire a capire tutto, posso
fare delle prove, però riuscite a risolvermi i dubbi più grossi?
grazie!!!

cn=virgilio
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20090618/d5011bc2/attachment.htm>


Maggiori informazioni sulla lista ImoLUG