projects:ldap
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revisionNext revisionBoth sides next revision | ||
projects:ldap [2012/03/09 08:51] – created viq | projects:ldap [2012/12/02 03:48] – literówka d3llf | ||
---|---|---|---|
Line 6: | Line 6: | ||
* Użytkowników w **'' | * Użytkowników w **'' | ||
* Grupy w **'' | * Grupy w **'' | ||
+ | * cn=fatty - członkowie stow. fatty | ||
+ | * cn=starving - członkowie stow. starving | ||
+ | * cn=zarzad - członkowie zarządu stow. | ||
+ | * cn=rewizja - członkowie komisji rewizyjnej stow. | ||
+ | * cn=wiki-user - konta użytkowników z dostępem do większości wiki (z wyjątkiem stron finansowych i głosowań) | ||
+ | * cn=wiki-admin - konta z prawami admina na wiki | ||
+ | * cn=xmpp-users - konta z dostępem do serwera XMPP | ||
+ | * cn=ldap-admin - konta z dostępem admin do serwera LDAP | ||
+ | * cn=mifare-authority - konta z dostępem do hashy kart w zamku | ||
+ | * cn=calendar - konta z możliwością postowania w kalendarzu? | ||
+ | * cn=twitter - konta z możliwością postowania na Twittera | ||
+ | * cn=itanic-shell - konta z dostępem shellowym do serwera itanic (teraz boston) | ||
+ | * cn=zbigniew-shell - konta z dostępem shellowym do serwera Zbigniew | ||
+ | * cn=vpn-users - konta z możliwością dostępu przez VPN | ||
* Możliwe że aliasy? Wtedy w **'' | * Możliwe że aliasy? Wtedy w **'' | ||
- | Aktualnie dostęp do odczytu do całego drzewa mają wszyscy, __**nawet użytkownicy nieautoryzowani**__ | + | < |
+ | Chcę zmienić istniejącą grupę cn=admin, | ||
+ | Aktualnie dostęp do odczytu do całego drzewa mają wszyscy, __**nawet użytkownicy nieautoryzowani**__ - jedynym wyjątkiem jest hasło, gdzie dostęp masz (również do zapisu) tylko do swojego po udanej autoryzacji, | ||
< | < | ||
by self write | by self write | ||
Line 16: | Line 32: | ||
access to * | access to * | ||
by * read</ | by * read</ | ||
+ | | ||
+ | Aktualnie z usługi korzystają: | ||
+ | * logowanie na itanic' | ||
+ | * prosody (serwer XMPP) | ||
+ | * OpenVPN | ||
+ | * (testowo) dokuwiki na itanicu | ||
+ | |||
+ | **Staging / Mini - Backup \ restore HowTo** | ||
+ | |||
+ | LDAP postawiony na zbigniewie i b-p służy do celów produkcyjnych. Jeśli ktoś nie czuje się pewnie ze zmianą, którą chce wprowadzić, | ||
+ | |||
+ | Procedura przygotowania staging wygląda następująco: | ||
+ | |||
+ | - na serwerze produkcyjnym wykonujesz ' | ||
+ | < | ||
+ | - logujesz się na ldap-staging i orientujesz, | ||
+ | < | ||
+ | - zatrzymujesz slapd | ||
+ | < | ||
+ | - sprawdzasz, czy plik konfiguracyjny slapd pokrywa się w istotnych | ||
+ | | ||
+ | < | ||
+ | - wgrywasz wydmuszkę jako user // | ||
+ | < | ||
+ | - na pewno, pokaże się błąd, że brakuje niektórych atrybutów, np: | ||
+ | < | ||
+ | 50bac69a Entry (cn=proliant, | ||
+ | slapadd: dn=" | ||
+ | - dopisz odpowiedni atrybut do swojej ' | ||
+ | |||
+ | < | ||
+ | |||
+ | - czyścimy ponownie / | ||
+ | < | ||
+ | - W razie problemów, włącz debug w / | ||
+ | < | ||
+ | - Let's hack fest begin! | ||
+ | |||
+ | **Planowana funkcjonalność: | ||
+ | * Centralne miejsce przechowywania informacji o użytkownikach. | ||
+ | * Kto ma mieć prawo edytować informacje? | ||
+ | * Jak dobrze dodawać użytkowników? | ||
+ | * Kontrola kto ma dostęp do czego | ||
+ | * Lista dostępów | ||
+ | * Stworzenie odpowiednich grup | ||
+ | * Upewnienie się, że potrafimy odpowiednio po grupach filtrować | ||
+ | * Znalazłem 2 polecane metody kontroli dostępu do serwerów: | ||
+ | * Obiekt Host per maszyna, ludzie dodawani do memberOf, w PAM filtrowanie po członkostwie | ||
+ | * Każdy użytkownik ma właściwość ' | ||
+ | * Integracja z systemami | ||
+ | * PAM @ itanic (posixGroup; | ||
+ | * Dokuwiki @ itanic (domain; dn: cn=wikiuser, | ||
+ | * XMPP @ itanic (groupOfNames; | ||
+ | * Wordpress @ itanic | ||
+ | * OpenVPN @ itanic (posixGroup; | ||
+ | * mail @ itanic (inetLocalMailRecipient; | ||
+ | * checkinator @ proliant | ||
+ | |||
+ | **Pytania: | ||
+ | * Jakie grupy tworzymy? | ||
+ | * Czy aliasy też chcemy przetrzymywać? | ||
+ | * Jaki ma być dostęp dla " | ||
+ | * Jaki ma być dostęp dla poszczególnych usług (i czy tworzymy dla nich dedykowane loginy?) | ||
+ | * Kto ma mieć prawo edytować jakie informacje? | ||
+ | * Jakie procedury potrzebujemy zdefiniować? |