Projet

Général

Profil

Anomalie #2362

eole-annuaire : pouvoir restreindre l'accès en lecture de slapd

Ajouté par Emmanuel GARETTE il y a plus de 12 ans. Mis à jour il y a presque 12 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.5 RC
Début:
11/11/2011
Echéance:
% réalisé:

100%

Temps estimé:
1.00 h
Temps passé:
0.25 h
Distribution:
EOLE 2.3

Description

Dans la gestion des ACLs LDAP, il y a :

access to *
       by * read

Il serait bien de pouvoir restreindre l'accès en lecture à des plages d'IP uniquement. Seuls les utilisateurs s'étant authentifiés ont accès en lecture à LDAP (sauf depuis le serveur lui-même).

Surtout que maintenant il y a un compte reader.

Exemple de configuration (en mode conteneur) :

access to *
        by peername.ip=192.0.2.0%255.255.255.0 read
        by peername.ip=127.0.0.1 read
        by users read
        by * none

Demandes liées

Lié à eole-snmpd - Evolution #1788: service snmpd Fermé 19/05/2011
Lié à conf-scribe - Anomalie #2361: eole-annuaire : support de ldaps Fermé 11/11/2011

Révisions associées

Révision 648de7aa (diff)
Ajouté par Emmanuel GARETTE il y a presque 12 ans

eole-annuaire : pouvoir restreindre l'accès en lecture de slapd (fixes #2362)

- dicos/23_annuaire.xml : ajout de la variable ldap_restrict_access en mode expert pour restreindre (pas de restriction par défaut)
- tmpl/00_annuaire.fw : si ldap_restrict_access est à aucun, pas de règle de firewall
- tmpl/slapd.conf : modification des ACLs en conséquence

Révision e9031117 (diff)
Ajouté par Bruno Boiget il y a presque 12 ans

correction de la syntaxe d'acl dans slapd.conf (fixes #2362)

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 12 ans

  • Assigné à mis à Joël Cuissinat
  • Version cible mis à Mises à jour 2.3.4 RC
  • Temps estimé mis à 1.00 h

#2 Mis à jour par Joël Cuissinat il y a environ 12 ans

  • Version cible changé de Mises à jour 2.3.4 RC à Mises à jour 2.3.5 RC

#3 Mis à jour par Joël Cuissinat il y a environ 12 ans

  • Assigné à Joël Cuissinat supprimé

#4 Mis à jour par Emmanuel GARETTE il y a presque 12 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#5 Mis à jour par Emmanuel GARETTE il y a presque 12 ans

  • Assigné à mis à Emmanuel GARETTE

#6 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Statut changé de Résolu à Fermé
Test des 3 options sur un Scribe-2.3 :
  • tous
    • requête anonyme : OK
    • requête authentifiée : OK
  • authentifié
    • requête anonyme : KO
    • requête authentifiée : OK
  • aucun
    • requête anonyme : KO
    • requête authentifiée : KO

#7 Mis à jour par Bruno Boiget il y a presque 12 ans

  • Statut changé de Fermé à Accepté
  • % réalisé changé de 100 à 90

mauvaise syntaxe ip/netmask au lieu de ip%netmask dans slapd.conf (mode conteneur)

#8 Mis à jour par Bruno Boiget il y a presque 12 ans

  • Statut changé de Accepté à Résolu
  • % réalisé changé de 90 à 100

#9 Mis à jour par Bruno Boiget il y a presque 12 ans

  • Statut changé de Résolu à Fermé

testé sur 2.3.5 RC (amonecole mode conteneur)

Formats disponibles : Atom PDF