* [Comm] ldap
@ 2004-03-30 13:16 Andriy Dobrovol's'kii
2004-03-31 3:15 ` BSW
0 siblings, 1 reply; 5+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-03-30 13:16 UTC (permalink / raw)
To: Community
Hi,
Кто-то может пояснить лдапьи ацэли? Не идёт каменный цветок... Не
хочет позволять никому кроме админа сервер ничего читать. А в логах
тока такое:
=> access_allowed: search access denied by =n
Если поставить отстрел на уровне прохождения ацэлей.
Если поднять до 256 то получим такое, например:
daemon: conn=1 fd=9 connection from IP=192.168.100.10:32782
(IP=0.0.0.0:389) accepted.
Mar 30 14:57:28 dge slapd[440]: conn=1 op=0 BIND dn="" method=128
Mar 30 14:57:28 dge slapd[383]: deferring operation
Mar 30 14:57:28 dge slapd[440]: conn=1 op=0 RESULT tag=97 err=0 text=
Mar 30 14:57:28 dge slapd[440]: conn=1 op=1 SRCH base="ou=dge,o=ip
nasu,o=nasu,c=ua" scope=2 filter="(cn=*)"
Mar 30 14:57:28 dge slapd[440]: conn=1 op=1 SEARCH RESULT tag=101
err=0 text=
Mar 30 14:57:28 dge slapd[440]: conn=1 op=2 UNBIND
Mar 30 14:57:28 dge slapd[440]: conn=-1 fd=9 closed
Mar 30 14:58:26 dge slapd[383]: daemon: conn=2 fd=9 connection from
IP=192.168.100.10:33181 (IP=0.0.0.0:389) accepted.
Mar 30 14:58:26 dge slapd[441]: conn=2 op=0 BIND
dn="CN=DOBR,OU=DGE,O=IP NASU,O=NASU,C=UA" method=128
Mar 30 14:58:26 dge slapd[441]: conn=2 op=0 RESULT tag=97 err=0 text=
Mar 30 14:58:26 dge slapd[440]: conn=2 op=1 SRCH base="ou=dge,o=ip
nasu,o=nasu,c=ua" scope=2 filter="(mail=*)"
Mar 30 14:58:26 dge slapd[440]: conn=2 op=1 SEARCH RESULT tag=101
err=0 text=
При этом acl прописаны такие:
cat slapd.conf |grep ^[^#]
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
modulepath /usr/lib/openldap
TLSCertificateFile /etc/openldap/ldap.pem
TLSCertificateKeyFile /etc/openldap/ldap.pem
TLSCACertificateFile /etc/openldap/ldap.pem
access to attr=userPassword
by self write
by anonymous auth
by * none
access to * by self write
access to * by anonymous search
access to * by users read
access to dn="" by * search
database ldbm
suffix "ou=dge,o=ip nasu,o=nasu,c=ua"
rootdn "cn=Manager,ou=dge,o=ip nasu,o=nasu,c=ua"
directory /var/lib/ldap/bases
loglevel 256
index objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname eq,subinitial
И по ldapsearch -xLLL "cn=*" получаем отлуп.
No such object (32)
Хотя объектов с cn в базе хватает.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] ldap
2004-03-30 13:16 [Comm] ldap Andriy Dobrovol's'kii
@ 2004-03-31 3:15 ` BSW
2004-03-31 9:30 ` Andriy Dobrovol's'kii
0 siblings, 1 reply; 5+ messages in thread
From: BSW @ 2004-03-31 3:15 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii wrote:
> При этом acl прописаны такие:
> access to attr=userPassword
> by self write
> by anonymous auth
> by * none
Пароль - только себе, и это правильно.
> access to * by self write
Доступ ко _всем_ данным - только для _себя_. Т.е. каждый авторизованный
юзер будет видеть только свои данные (dn: uid=<username>, ...), и больше
ничего. Дальше acl-и не проверяются.
Возможно вместо self стоит написать users.
> access to * by anonymous search
> access to * by users read
> access to dn="" by * search
Возможно имеет смысл поменять некоторые строчки местами.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] ldap
2004-03-31 3:15 ` BSW
@ 2004-03-31 9:30 ` Andriy Dobrovol's'kii
2004-03-31 10:13 ` Andriy Dobrovol's'kii
2004-03-31 10:54 ` BSW
0 siblings, 2 replies; 5+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-03-31 9:30 UTC (permalink / raw)
To: community
BSW wrote:
> Andriy Dobrovol's'kii wrote:
>
>> При этом acl прописаны такие:
>> access to attr=userPassword
>> by self write
>> by anonymous auth
>> by * none
>
> Пароль - только себе, и это правильно.
>
Да планировалось именно так.
>> access to * by self write
>
> Доступ ко _всем_ данным - только для _себя_. Т.е. каждый авторизованный
> юзер будет видеть только свои данные (dn: uid=<username>, ...), и больше
> ничего. Дальше acl-и не проверяются.
> Возможно вместо self стоит написать users.
>
Вон оно что... Я это трактовал несколько иначе... Думал, что
разрешаю пользователю самостоятельно изменять свои данные. А как
тогда добиться желаемого?
>> access to * by anonymous search
>> access to * by users read
>> access to dn="" by * search
>
>
> Возможно имеет смысл поменять некоторые строчки местами.
>
Похоже. Спасибо за помощь.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] ldap
2004-03-31 9:30 ` Andriy Dobrovol's'kii
@ 2004-03-31 10:13 ` Andriy Dobrovol's'kii
2004-03-31 10:54 ` BSW
1 sibling, 0 replies; 5+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-03-31 10:13 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii wrote:
> BSW wrote:
>
>> Andriy Dobrovol's'kii wrote:
>>
>>> При этом acl прописаны такие:
>>> access to attr=userPassword
>>> by self write
>>> by anonymous auth
>>> by * none
>>
>>
>> Пароль - только себе, и это правильно.
>>
> Да планировалось именно так.
>
>>> access to * by self write
>>
>>
>> Доступ ко _всем_ данным - только для _себя_. Т.е. каждый
>> авторизованный юзер будет видеть только свои данные (dn:
>> uid=<username>, ...), и больше ничего. Дальше acl-и не проверяются.
>> Возможно вместо self стоит написать users.
>>
> Вон оно что... Я это трактовал несколько иначе... Думал, что разрешаю
> пользователю самостоятельно изменять свои данные. А как тогда добиться
> желаемого?
>
>>> access to * by anonymous search
>>> access to * by users read
>>> access to dn="" by * search
>>
>> Возможно имеет смысл поменять некоторые строчки местами.
>>
> Похоже. Спасибо за помощь.
>
access to attr=userPassword
by self write
by anonymous auth
by * none
access to * by users read
access to * by self write
by anonymous read
by * search
Увы, так снова не работает. :(
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] ldap
2004-03-31 9:30 ` Andriy Dobrovol's'kii
2004-03-31 10:13 ` Andriy Dobrovol's'kii
@ 2004-03-31 10:54 ` BSW
1 sibling, 0 replies; 5+ messages in thread
From: BSW @ 2004-03-31 10:54 UTC (permalink / raw)
To: community
Andriy Dobrovol's'kii wrote:
> Вон оно что... Я это трактовал несколько иначе... Думал, что разрешаю
> пользователю самостоятельно изменять свои данные. А как тогда добиться
> желаемого?
Так он (наверняка) мог менять свои данные :-). Проблема, как я понимаю,
в том, что юзер является self только для собственной учетной записи
(своего dn), для остальных - он просто юзер.
Пробелму можно решить двумя способами:
- разрешить юзеру изменять только некоторые атрибуты (зачем ему менять
objectClass?)
access to attr=attr1,attr2,...
by self write
by <остальное по вкусу>
access to *
by users read
by anonymous auth
by * none
- отдать юзеру его dn целиком, все остальное - только на чтение
access to *
by self write
by users read
by anonymous auth
by * none
Т.е. нужно явно указать write для self, и read для users. Причем важен
еще и порядок, если by * none написать раньше, чем by self write, то все
ловко обломаются.
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-03-31 10:54 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-03-30 13:16 [Comm] ldap Andriy Dobrovol's'kii
2004-03-31 3:15 ` BSW
2004-03-31 9:30 ` Andriy Dobrovol's'kii
2004-03-31 10:13 ` Andriy Dobrovol's'kii
2004-03-31 10:54 ` BSW
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git