forum.opennet.ru - "LDAP и доступ к сервисам" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"LDAP и доступ к сервисам"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"LDAP и доступ к сервисам"
Сообщение от pablo (ok) on 22-Фев-07, 15:30
Добрый день. Решаю задачу построения единой базы авторизации для большого количества серверов и сервисов. Т.е. на каждом сервере есть несколько различных сервисов к которым пользователь может (или не может) иметь доступ. Например: ssh, apache, какие либо сторонние продукты поддерживающие ldap. На данный момент: есть работающий сервер и парочка клиентов на различных ОС которые умеют авторизоваться на сервере (ssh доступ). Следующей ступенью будет настройка разделения доступа. Т.е. пользователь может иметь доступ к одному серверу но не иметь к другому. Реализацию этого я нашел в листе openldap: http://www.openldap.org/lists/openldap-software/200104/msg00300.html Вот описание общей идеи: http://www.bayour.com/openldap/trustmodel.txt Внимание вопрос. :) Схема ограничивает доступ на уровне хоста. Есть ли что-то подобное для ограничения на уровне сервиса? Буду благодарен за любые советы, ссылки. Особенно хорошо, если найдется кто-то решавший подобную задачу.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

LDAP и доступ к сервисам, pavel_simple, 22:38 , 22-Фев-07, (1)

LDAP и доступ к сервисам, pablo, 12:18 , 23-Фев-07, (2)

LDAP и доступ к сервисам, pavel_simple, 15:58 , 23-Фев-07, (3)

LDAP и доступ к сервисам, pablo, 17:46 , 23-Фев-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "LDAP  и доступ к сервисам"

Сообщение от pavel_simple (ok) on 22-Фев-07, 22:38

так ПАМ ведь авторизует как раз по отдельному сервису, если работает
pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=papadoc.bayour.com)
то почему бы не работать
pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=ssh.papadoc.bayour.com)
хм...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "LDAP  и доступ к сервисам"

Сообщение от pablo (ok) on 23-Фев-07, 12:18

>так ПАМ ведь авторизует как раз по отдельному сервису, если работает
>
>pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=papadoc.bayour.com)
>то почему бы не работать
>pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=ssh.papadoc.bayour.com)
>хм...

Логично.
Смущает указание trustModel: byserver. Заранее не ясно какие проблемы это может породить...
К тому же это очевидное решения только для pam (с его pam_filter). Как быть например с apache? У него в модуле есть указание на require group ( например cn=svn_repo1.papadoc.bayour.com). Для этого нужно совершенно по другому стоить схему.
В идеальном случае хотелось бы поговорить с человеком который решал такие задачи...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "LDAP  и доступ к сервисам"

Сообщение от pavel_simple (ok) on 23-Фев-07, 15:58

я подобные задачи не решал, но ...
ldap штука отличная конечно, но привязка его к определённому сервису ничем не регламентируется, и в каждом конкретном случае решается по разному, а со схемами -- так какую захотел -- такую и сделал. идеального решения не бывает -- да оно и не нужно, нужно сделать а потом думать как можно оптимизировать (подход конечно не очень -- зато эффективный) IMHO

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "LDAP  и доступ к сервисам"

Сообщение от pablo (ok) on 23-Фев-07, 17:46

Нашел. Неплохой вариант решения. Нет необходимости изменять схему. Основываемся на группах.
Т.е. создаем группы:
service1.ldapclient.tld
service2.ldapclient.tld
Затем можно использовать предусмотренный в pam_ldap pam_groupdn.
Проблема осталась только одна. Оказалось это не работает на практике. :)
Такое ощущение что pam_ldap просто игнорирует эту опцию...
Нашел подтверждение своим словам...
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP в описании настройки pam_ldap...

>я подобные задачи не решал, но ...
>
>ldap штука отличная конечно, но привязка его к определённому сервису ничем не
>регламентируется, и в каждом конкретном случае решается по разному, а со
>схемами -- так какую захотел -- такую и сделал. идеального решения
>не бывает -- да оно и не нужно, нужно сделать а
>потом думать как можно оптимизировать (подход конечно не очень -- зато
>эффективный) IMHO

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "LDAP и доступ к сервисам"
Сообщение от pavel_simple (ok) on 22-Фев-07, 22:38
так ПАМ ведь авторизует как раз по отдельному сервису, если работает pam_filter objectclass=posixAccount)(\|(trustmodel=fullaccess)(accessto=papadoc.bayour.com) то почему бы не работать pam_filter objectclass=posixAccount)(\|(trustmodel=fullaccess)(accessto=ssh.papadoc.bayour.com) хм...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "LDAP и доступ к сервисам"
	Сообщение от pablo (ok) on 23-Фев-07, 12:18
	>так ПАМ ведь авторизует как раз по отдельному сервису, если работает > >pam_filter objectclass=posixAccount)(\|(trustmodel=fullaccess)(accessto=papadoc.bayour.com) >то почему бы не работать >pam_filter objectclass=posixAccount)(\|(trustmodel=fullaccess)(accessto=ssh.papadoc.bayour.com) >хм... Логично. Смущает указание trustModel: byserver. Заранее не ясно какие проблемы это может породить... К тому же это очевидное решения только для pam (с его pam_filter). Как быть например с apache? У него в модуле есть указание на require group ( например cn=svn_repo1.papadoc.bayour.com). Для этого нужно совершенно по другому стоить схему. В идеальном случае хотелось бы поговорить с человеком который решал такие задачи...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "LDAP и доступ к сервисам"
	Сообщение от pavel_simple (ok) on 23-Фев-07, 15:58
	я подобные задачи не решал, но ... ldap штука отличная конечно, но привязка его к определённому сервису ничем не регламентируется, и в каждом конкретном случае решается по разному, а со схемами -- так какую захотел -- такую и сделал. идеального решения не бывает -- да оно и не нужно, нужно сделать а потом думать как можно оптимизировать (подход конечно не очень -- зато эффективный) IMHO
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "LDAP и доступ к сервисам"
	Сообщение от pablo (ok) on 23-Фев-07, 17:46
	Нашел. Неплохой вариант решения. Нет необходимости изменять схему. Основываемся на группах. Т.е. создаем группы: service1.ldapclient.tld service2.ldapclient.tld Затем можно использовать предусмотренный в pam_ldap pam_groupdn. Проблема осталась только одна. Оказалось это не работает на практике. :) Такое ощущение что pam_ldap просто игнорирует эту опцию... Нашел подтверждение своим словам... http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP в описании настройки pam_ldap... >я подобные задачи не решал, но ... > >ldap штука отличная конечно, но привязка его к определённому сервису ничем не >регламентируется, и в каждом конкретном случае решается по разному, а со >схемами -- так какую захотел -- такую и сделал. идеального решения >не бывает -- да оно и не нужно, нужно сделать а >потом думать как можно оптимизировать (подход конечно не очень -- зато >эффективный) IMHO
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]