LDAP Zugangsbeschränkungen funktionieren nicht

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

LDAP Zugangsbeschränkungen funktionieren nicht

Beitrag von scientific » 25.04.2018 14:35:59

Hi!

LDAP beschäftigt mich ja weiterhin...
Ich habe jetzt einmal zwei minimale ACLs installiert:

Code: Alles auswählen

{0}to attrs=userpassword by self =xw by anonymous auth
{1}to * by self write by users read
Und soweit ich das verstanden habe, wird ein "by * none" implizit immer dazugefügt.

Die beiden Regeln sollen bewirken, dass ein User sein Passwort ändern, aber selbst nicht sehen kann, und dass das Passwort nur für Authentifizierte User selbst veränderbar sein soll.
Die Zweite Regel besagt, dass nur Authentifizierte User alles lesen können (und implizit nicht authentifizierte User sollen gar nichts sehen).

Wenn ich jetzt von einem entfernten Rechner

Code: Alles auswählen

ldapsearch -x -h ldap.example.org -Z
ausführe (Ich hab meinen openldap so konfiguriert, dass er ausschließlich TLS-gesicherte Verbindungen akzeptiert), so spuckt mir diese Abfrage den gesamten Inhalt ohne weitere Authentifizierung aus.

Genau das will ich aber verhindern! Damit kann doch jeder ohne Passwort den Inhalt meines Servers auslesen?
Gebe ich dem Befehl noch ein -D uid=... -W mit, und gebe dann das falsche Passwort ein, so bleibt das Ergebnis leer.

Code: Alles auswählen

Enter LDAP Password:
ldap_bind: Invalid credentials (49)
Wie mache ich das richtig, dass ausschließlich authentifizierte User überhaupt ein Ergebnis sehen?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP Zugangsbeschränkungen funktionieren nicht

Beitrag von scientific » 25.04.2018 14:38:53

Kaum schreibt man es auf, fallen einem die richtigen Suchbegriffe ein...

https://serverfault.com/questions/32591 ... -cn-config

Und schon klappt es ausschließlich mit authentifiziertem Zugriff!

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP Zugangsbeschränkungen funktionieren nicht

Beitrag von scientific » 25.04.2018 15:19:42

Aber etwas funktioniert trotzdem nicht.
Ich hab als erste ACL diese jetzt gesetzt:

Code: Alles auswählen

{0}to attrs=userPassword,shadowLastChange,sshPublicKey by set="[cn=perm-sys_admins,ou=all_hosts,ou=groups,dc=example,dc=org]/member & user" write by anonymous auth by self =xw
Wenn ich mich dann als ein User aus der groupOfNames/posixGroup cn=perm-sys_admins,ou=all_hosts,ou=groups,dc=example,dc=org authentifiziere (in Apache Directory Studio hab ich mir für zwei, drei Testuser eigene Logins/LDAP-Server angelegt), so sehe ich mit diesem User wiederum nur das eigene userPassword, aber nicht jene der anderen User. Obwohl der in dieser Admin-Gruppe ist.
Ich hab das Gefühl, ich kann da einstellen, was ich will, es ändert überhaupt nix am Verhalten.
Wenn ich nämlich zu den "attrs=" noch "sshPublicKey" hinzunehme, so sehe ich den bei allen Usern.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP Zugangsbeschränkungen funktionieren nicht

Beitrag von scientific » 25.04.2018 18:31:44

Das muss man auf der Datenbank "frontend" setzen... Grrrrr
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten