Gestions des droits utilisateurs avec un annuaire LDAP

Gestions des droits utilisateurs avec un annuaire LDAP - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 05-06-2009 à 10:04:59    

Bonjour http://www.siteduzero.com/Templates/images/smilies/smile.png
je me pose actuellement quelques questions et je ne trouve pas beaucoup de reponses sur google.
 
J'aimerai mettre en place une gestion centralisé des utilisateurs de mon réseaux.
Pour cela je compte utiliser LDAP.
Je compte donc mettre les utilisateurs postfix, dovecot, apache et mes comptes unix dans cet annuaire pour que les utilisateurs aient le même mot de passe partout et que la gestion soit plus facile et centralisé pour moi. Jusque la, y'a pas trop de probleme et y a masse de tutos sur google.
 
Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre (postfix, samba, compte unix/linux, etc), et que je puisse filtrer sur les vhost d'apache.
J'avoue que pour cette question je ne trouve pas de réponse.
 
Exemple : Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP.
Pour apache, j'ai trouvé ça : http://httpd.apache.org/docs/2.0/mod/m [...] #reqattribute
Ca me permeterait de faire "la même chose" que ce que je vais avec ma BDD SQL. Mais comment gerer la liste des vhost accessiblent par l'utilisateur dans l'annuaire ?
 
Auriez vous des retours d'experience de solutions home-made ou des articles sur google que j'aurai loupé ?
 
Merci d'avance pour votre aide http://www.siteduzero.com/Templates/images/smilies/clin.png .

Message cité 1 fois
Message édité par b0ugie le 05-06-2009 à 10:05:15
Reply

Marsh Posté le 05-06-2009 à 10:04:59   

Reply

Marsh Posté le 05-06-2009 à 13:36:36    

b0ugie a écrit :


Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre (postfix, samba, compte unix/linux, etc), et que je puisse filtrer sur les vhost d'apache.
J'avoue que pour cette question je ne trouve pas de réponse.
 
Exemple : Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP.
Pour apache, j'ai trouvé ça : http://httpd.apache.org/docs/2.0/mod/m [...] #reqattribute
Ca me permeterait de faire "la même chose" que ce que je vais avec ma BDD SQL. Mais comment gerer la liste des vhost accessiblent par l'utilisateur dans l'annuaire ?


 
Ca doit pouvoir se faire avec PAM + les options de configuration pam_check_host_attr et pam_check_service_attr. Pour les vhosts, mod_auth_ldap avec l'option Require ldap-attribute correctement renseignée.
 
Non, j'ai pas de tuto, mais avec les pages man et un peu d'huile de coude, ca doit pouvoir se faire.


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 05-06-2009 à 14:37:04    

Effectivement, pam_check_service_attr peut effectivement apporter une solution pour le login des utilisateurs, et plus globalement toutes les applications gérées par PAM.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed