LinuC LV2資格学習64日目
LDAPのアクセス制御
OpenLDAPには、エントリや属性に対してアクセス制御を行う事ができます。
設定書式
olcAccess: to アクセス制御対象 by アクセス許可 アクセスレベル
アクセス制御対象
* :全てのエントリ
attrs=属性:指定した属性のみd
n=DN:指定したDNのみ
アクセス許可対象
*:全てのユーザー
anonymous:認証前のユーザー
users:認証されたユーザー
self:接続中の認証済みユーザー自身
dn[.範囲]=DN:指定したDNのユーザー(※1)
※1 アクセス許可の範囲
exact:完全一致
base:ベースDNで指定されたエントリのみ
one:ベースDNで指定されたエントリその直下
sub:ベースDNで指定されたエントリその下にある全てのエントリ
アクセスレベル
manage:全て可能
write:属性値を変更できる
read:検索結果を参照できる
search:検索できる
compare:比較できる
auth:認証を受ける事ができる
disclose:エラー情報が出る
none:アクセス出来る
アクセス制御を設定なかった場合は、全てのユーザーが全てのエントリを読み込む事が可能な状態です。
ただし、エントリ更新はrootdnだけの特権になっています。
仮に以下のようなエントリを追加した場合には、
olcAccess: to * by dn="cn=Manager,dc=example,dc=com" read by * none
to *
全てのエントリが対象である
by dn="cn=Manager,dc=example,dc=com" read
このDNユーザーは検索参照が可能
by * none
前で定義いたby以外はアクセス不能
今日は、ここまででした。
分け合って自社のファイルサーバーの移設を行ってきたのですが、「ファイルサーバーなんでもう慣れたもんだし」っとおもって作業をしたら・・・まぁ上手くいかないで四苦八苦しました;
当初の予定をは違う形でとりあえず完成出来ましたが、どんな慣れていて些細なインフラ構築でも事前準備は、しっかりしておくべきだと身に染みました。
構成管理ツールの重要性も改めて認識しました(後日つくろ;)。
それでは、また明日ありがとうございました。
この記事が気に入ったらサポートをしてみませんか?