projects:ldap
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
projects:ldap [2012/12/02 03:48] – literówka d3llf | projects:ldap [2020/02/12 16:07] (current) – removed q3k | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | [[https:// | ||
- | Aktualnie drzewo jest dla **'' | ||
- | |||
- | Planujemy tam trzymać: | ||
- | * Użytkowników w **'' | ||
- | * Grupy w **'' | ||
- | * cn=fatty - członkowie stow. fatty | ||
- | * cn=starving - członkowie stow. starving | ||
- | * cn=zarzad - członkowie zarządu stow. | ||
- | * cn=rewizja - członkowie komisji rewizyjnej stow. | ||
- | * cn=wiki-user - konta użytkowników z dostępem do większości wiki (z wyjątkiem stron finansowych i głosowań) | ||
- | * cn=wiki-admin - konta z prawami admina na wiki | ||
- | * cn=xmpp-users - konta z dostępem do serwera XMPP | ||
- | * cn=ldap-admin - konta z dostępem admin do serwera LDAP | ||
- | * cn=mifare-authority - konta z dostępem do hashy kart w zamku | ||
- | * cn=calendar - konta z możliwością postowania w kalendarzu? | ||
- | * cn=twitter - konta z możliwością postowania na Twittera | ||
- | * cn=itanic-shell - konta z dostępem shellowym do serwera itanic (teraz boston) | ||
- | * cn=zbigniew-shell - konta z dostępem shellowym do serwera Zbigniew | ||
- | * cn=vpn-users - konta z możliwością dostępu przez VPN | ||
- | * Możliwe że aliasy? Wtedy w **'' | ||
- | |||
- | < | ||
- | Chcę zmienić istniejącą grupę cn=admin, | ||
- | |||
- | Aktualnie dostęp do odczytu do całego drzewa mają wszyscy, __**nawet użytkownicy nieautoryzowani**__ - jedynym wyjątkiem jest hasło, gdzie dostęp masz (również do zapisu) tylko do swojego po udanej autoryzacji, | ||
- | < | ||
- | by self write | ||
- | by * auth | ||
- | |||
- | access to * | ||
- | by * read</ | ||
- | | ||
- | Aktualnie z usługi korzystają: | ||
- | * logowanie na itanic' | ||
- | * prosody (serwer XMPP) | ||
- | * OpenVPN | ||
- | * (testowo) dokuwiki na itanicu | ||
- | |||
- | **Staging / Mini - Backup \ restore HowTo** | ||
- | |||
- | LDAP postawiony na zbigniewie i b-p służy do celów produkcyjnych. Jeśli ktoś nie czuje się pewnie ze zmianą, którą chce wprowadzić, | ||
- | |||
- | Procedura przygotowania staging wygląda następująco: | ||
- | |||
- | - na serwerze produkcyjnym wykonujesz ' | ||
- | < | ||
- | - logujesz się na ldap-staging i orientujesz, | ||
- | < | ||
- | - zatrzymujesz slapd | ||
- | < | ||
- | - sprawdzasz, czy plik konfiguracyjny slapd pokrywa się w istotnych | ||
- | | ||
- | < | ||
- | - wgrywasz wydmuszkę jako user // | ||
- | < | ||
- | - na pewno, pokaże się błąd, że brakuje niektórych atrybutów, np: | ||
- | < | ||
- | 50bac69a Entry (cn=proliant, | ||
- | slapadd: dn=" | ||
- | - dopisz odpowiedni atrybut do swojej ' | ||
- | |||
- | < | ||
- | |||
- | - czyścimy ponownie / | ||
- | < | ||
- | - W razie problemów, włącz debug w / | ||
- | < | ||
- | - Let's hack fest begin! | ||
- | |||
- | **Planowana funkcjonalność: | ||
- | * Centralne miejsce przechowywania informacji o użytkownikach. | ||
- | * Kto ma mieć prawo edytować informacje? | ||
- | * Jak dobrze dodawać użytkowników? | ||
- | * Kontrola kto ma dostęp do czego | ||
- | * Lista dostępów | ||
- | * Stworzenie odpowiednich grup | ||
- | * Upewnienie się, że potrafimy odpowiednio po grupach filtrować | ||
- | * Znalazłem 2 polecane metody kontroli dostępu do serwerów: | ||
- | * Obiekt Host per maszyna, ludzie dodawani do memberOf, w PAM filtrowanie po członkostwie | ||
- | * Każdy użytkownik ma właściwość ' | ||
- | * Integracja z systemami | ||
- | * PAM @ itanic (posixGroup; | ||
- | * Dokuwiki @ itanic (domain; dn: cn=wikiuser, | ||
- | * XMPP @ itanic (groupOfNames; | ||
- | * Wordpress @ itanic | ||
- | * OpenVPN @ itanic (posixGroup; | ||
- | * mail @ itanic (inetLocalMailRecipient; | ||
- | * checkinator @ proliant | ||
- | |||
- | **Pytania: | ||
- | * Jakie grupy tworzymy? | ||
- | * Czy aliasy też chcemy przetrzymywać? | ||
- | * Jaki ma być dostęp dla " | ||
- | * Jaki ma być dostęp dla poszczególnych usług (i czy tworzymy dla nich dedykowane loginy?) | ||
- | * Kto ma mieć prawo edytować jakie informacje? | ||
- | * Jakie procedury potrzebujemy zdefiniować? |
projects/ldap.1354420083.txt.gz · Last modified: 2014/04/02 06:57 (external edit)