LinuC LV2資格学習64日目

教本：LinuC レベル２

公式資料

LDAPのアクセス制御

OpenLDAPには、エントリや属性に対してアクセス制御を行う事ができます。

設定書式

olcAccess: to アクセス制御対象 by アクセス許可 アクセスレベル

アクセス制御対象

* ：全てのエントリ
attrs=属性：指定した属性のみd
n=DN：指定したDNのみ

アクセス許可対象

*：全てのユーザー
anonymous：認証前のユーザー
users：認証されたユーザー
self：接続中の認証済みユーザー自身
dn[.範囲]=DN：指定したDNのユーザー（※１）

※１　アクセス許可の範囲

exact：完全一致
base：ベースDNで指定されたエントリのみ
one：ベースDNで指定されたエントリその直下
sub：ベースDNで指定されたエントリその下にある全てのエントリ

アクセスレベル

manage：全て可能
write：属性値を変更できる
read：検索結果を参照できる
search：検索できる
compare：比較できる
auth：認証を受ける事ができる
disclose：エラー情報が出る
none：アクセス出来る

アクセス制御を設定なかった場合は、全てのユーザーが全てのエントリを読み込む事が可能な状態です。

ただし、エントリ更新はrootdnだけの特権になっています。

仮に以下のようなエントリを追加した場合には、

olcAccess: to * by dn="cn=Manager,dc=example,dc=com" read by * none

to *

全てのエントリが対象である

by dn="cn=Manager,dc=example,dc=com" read 

このDNユーザーは検索参照が可能

by * none

前で定義いたby以外はアクセス不能

今日は、ここまででした。

分け合って自社のファイルサーバーの移設を行ってきたのですが、「ファイルサーバーなんでもう慣れたもんだし」っとおもって作業をしたら・・・まぁ上手くいかないで四苦八苦しました；

当初の予定をは違う形でとりあえず完成出来ましたが、どんな慣れていて些細なインフラ構築でも事前準備は、しっかりしておくべきだと身に染みました。

構成管理ツールの重要性も改めて認識しました（後日つくろ；）。

それでは、また明日ありがとうございました。