LINUX.ORG.RU
ФорумAdmin

Прошу помочь с настройкой прав в OpenLDAP


0

1

Имеется LDAP-каталог в OpenLDAP. В нём лежат линусковые пользователи и группы, там же атрибуты samba. Сегодня озадачился нормальной настройкой прав. Получилось примерно вот так:

to dn.base="dc=lor"
        by ssf=128 users read
        by * none

to dn.one="dc=lor" filter=(objectClass=organizationalUnit)
        by ssf=128 users read
        by * none

to dn.one="dc=lor" filter=(objectClass=simpleSecurityObject) attrs=userPassword
        by ssf=128 anonymous auth
        by * none

to dn.one="dc=lor" filter=(objectClass=simpleSecurityObject)
        by ssf=128 self read
        by * none

to dn.one="ou=people,dc=lor" attrs=entry,objectClass,uid,uidNumber,gidNumber,gecos,cn,homeDirectory,loginShell
        by ssf=128 dn="cn=unauthenticated,dc=lor" read
        by ssf=128 self read
        by * none

to dn.one="ou=people,dc=lor" attrs=userPassword
        by ssf=128 self write
        by ssf=128 anonymous auth
        by * none

to dn.one="ou=people,dc=lor" attrs=shadowLastChange
        by ssf=128 self write
        by * none

to dn.one="ou=groups,dc=lor" attrs=entry,objectClass,cn,gidNumber,memberUid,uniqueMember
        by ssf=128 dn="cn=unauthenticated,dc=lor" read
        by * none

to dn.one="ou=computers,dc=lor" attrs=entry,objectClass,uid,uidNumber,gidNumber,gecos,cn,homeDirectory,loginShell
        by ssf=128 dn="cn=unauthenticated,dc=lor" read
        by * none

to *
        by * none
«cn=unauthenticated,dc=lor» используется для получения записей NSS и прописан в настройках nslcd (nss-pam-ldapd). Для samba (NT DC) отдельный dn я пока не завёл, так что самба пока подключается по LDAP от имени администратора. Вопросы:

  • Я вообще не переборщил с правилами? А то во всех руководствах обычно пишут ACL всего в пару пунктов...
  • Как у OpenLDAP с производительностью при обработке большого количества правил? (если ответ на предыдущий пункт - да =))
  • К каким узлам и атрибутам нужно давать доступ самбе?
Deleted

Я вообще не переборщил с правилами? А то во всех руководствах обычно пишут ACL всего в пару пунктов...

Нет, не переборщили. Более того, рестриктить можно (и нужно) еще больше. Во всевозможных how-to все это пропускают для удобства изложения и удобства поиска ошибок. Т.е. сначала вы делаете, чтобы у вас все работало, а потом применяете рестрикты как хотите. Связано с тем, что новички не могут осилить и unrestricted настройку, а уж продвинутые права доступа приведут их в тупик при любой непонятке.


Как у OpenLDAP с производительностью при обработке большого количества правил? (если ответ на предыдущий пункт - да =))

Особой корреляции не заметил. Мы о сотнях или тысячах правил говорим?

К каким узлам и атрибутам нужно давать доступ самбе?

Как минимум ко всем атрибутам, описаным в samba.schema, и ко всем узлам, которые имеют в детях эти атрибуты.

zgen ★★★★★
()

Получилось примерно вот так

Не видя полной структуры базы и типичных записей, не зная полного списка приложений, которым необходим доступ, как-то оценить ваши права доступа сложно.

zgen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.