projects:ldap
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
projects:ldap [2012/03/09 20:27] – tomek | projects:ldap [2012/12/02 03:48] – literówka d3llf | ||
---|---|---|---|
Line 6: | Line 6: | ||
* Użytkowników w **'' | * Użytkowników w **'' | ||
* Grupy w **'' | * Grupy w **'' | ||
+ | * cn=fatty - członkowie stow. fatty | ||
+ | * cn=starving - członkowie stow. starving | ||
+ | * cn=zarzad - członkowie zarządu stow. | ||
+ | * cn=rewizja - członkowie komisji rewizyjnej stow. | ||
+ | * cn=wiki-user - konta użytkowników z dostępem do większości wiki (z wyjątkiem stron finansowych i głosowań) | ||
+ | * cn=wiki-admin - konta z prawami admina na wiki | ||
+ | * cn=xmpp-users - konta z dostępem do serwera XMPP | ||
+ | * cn=ldap-admin - konta z dostępem admin do serwera LDAP | ||
+ | * cn=mifare-authority - konta z dostępem do hashy kart w zamku | ||
+ | * cn=calendar - konta z możliwością postowania w kalendarzu? | ||
+ | * cn=twitter - konta z możliwością postowania na Twittera | ||
+ | * cn=itanic-shell - konta z dostępem shellowym do serwera itanic (teraz boston) | ||
+ | * cn=zbigniew-shell - konta z dostępem shellowym do serwera Zbigniew | ||
+ | * cn=vpn-users - konta z możliwością dostępu przez VPN | ||
* Możliwe że aliasy? Wtedy w **'' | * Możliwe że aliasy? Wtedy w **'' | ||
+ | |||
+ | < | ||
+ | Chcę zmienić istniejącą grupę cn=admin, | ||
Aktualnie dostęp do odczytu do całego drzewa mają wszyscy, __**nawet użytkownicy nieautoryzowani**__ - jedynym wyjątkiem jest hasło, gdzie dostęp masz (również do zapisu) tylko do swojego po udanej autoryzacji, | Aktualnie dostęp do odczytu do całego drzewa mają wszyscy, __**nawet użytkownicy nieautoryzowani**__ - jedynym wyjątkiem jest hasło, gdzie dostęp masz (również do zapisu) tylko do swojego po udanej autoryzacji, | ||
Line 22: | Line 39: | ||
* (testowo) dokuwiki na itanicu | * (testowo) dokuwiki na itanicu | ||
- | Planowana funkcjonalność: | + | **Staging / Mini - Backup \ restore HowTo** |
+ | |||
+ | LDAP postawiony na zbigniewie i b-p służy do celów produkcyjnych. Jeśli ktoś nie czuje się pewnie ze zmianą, którą chce wprowadzić, | ||
+ | |||
+ | Procedura przygotowania staging wygląda następująco: | ||
+ | |||
+ | - na serwerze produkcyjnym wykonujesz ' | ||
+ | < | ||
+ | - logujesz się na ldap-staging i orientujesz, | ||
+ | < | ||
+ | - zatrzymujesz slapd | ||
+ | < | ||
+ | - sprawdzasz, czy plik konfiguracyjny slapd pokrywa się w istotnych | ||
+ | | ||
+ | < | ||
+ | - wgrywasz wydmuszkę jako user //ldap//: | ||
+ | < | ||
+ | - na pewno, pokaże się błąd, że brakuje niektórych atrybutów, np: | ||
+ | < | ||
+ | 50bac69a Entry (cn=proliant, | ||
+ | slapadd: dn=" | ||
+ | - dopisz odpowiedni atrybut do swojej ' | ||
+ | |||
+ | < | ||
+ | |||
+ | - czyścimy ponownie / | ||
+ | < | ||
+ | - W razie problemów, włącz debug w / | ||
+ | < | ||
+ | - Let's hack fest begin! | ||
+ | |||
+ | **Planowana funkcjonalność: | ||
* Centralne miejsce przechowywania informacji o użytkownikach. | * Centralne miejsce przechowywania informacji o użytkownikach. | ||
* Kto ma mieć prawo edytować informacje? | * Kto ma mieć prawo edytować informacje? | ||
- | * Jak dobrze dodawać użytkowników? | + | * Jak dobrze dodawać użytkowników? |
* Kontrola kto ma dostęp do czego | * Kontrola kto ma dostęp do czego | ||
* Lista dostępów | * Lista dostępów | ||
* Stworzenie odpowiednich grup | * Stworzenie odpowiednich grup | ||
* Upewnienie się, że potrafimy odpowiednio po grupach filtrować | * Upewnienie się, że potrafimy odpowiednio po grupach filtrować | ||
+ | * Znalazłem 2 polecane metody kontroli dostępu do serwerów: | ||
+ | * Obiekt Host per maszyna, ludzie dodawani do memberOf, w PAM filtrowanie po członkostwie | ||
+ | * Każdy użytkownik ma właściwość ' | ||
* Integracja z systemami | * Integracja z systemami | ||
- | * PAM @ itanic | + | * PAM @ itanic |
- | * Dokuwiki @ itanic | + | * Dokuwiki @ itanic |
- | * XMPP @ itanic | + | * XMPP @ itanic |
* Wordpress @ itanic | * Wordpress @ itanic | ||
- | * OpenVPN @ itanic | + | * OpenVPN @ itanic |
- | * mail @ itanic | + | * mail @ itanic |
* checkinator @ proliant | * checkinator @ proliant | ||
- | Pytania: | + | **Pytania:** |
* Jakie grupy tworzymy? | * Jakie grupy tworzymy? | ||
* Czy aliasy też chcemy przetrzymywać? | * Czy aliasy też chcemy przetrzymywać? |