Hallo Rainer,
ich versuche mal eine Antwort, auch wenn ich keine
Linuxmuster.net-Lösung habe.
Am 30.01.2016 um 10:18 schrieb Rainer Schajor:
Hallo zusammen
nachdem ich alles neu aufbauen muss fehlt mir noch die Einschränkung der
LDAP-Anfragen auf gewisse IPs.
Nun habe ich aber etliche Dienste die den LDAP abfragen: Schulportfolio,
webuntis, moodle, ggf demnächt PCs in der Lehrerarbeitsumgebung ...
owncloud ...
Muss ich für jede IP einzeln eine LDAP-Firewall-Regel erstellen?
ich habe von Firewall keine wirkliche Ahnung. Aber ich denke, dass
eure/deine Firewall über IPs den Zutritt zum Server bzw. zum Netz in
Abhängigkeit von den IPs erlaubt bzw. nicht. Und für alle Rechner, die
Zugriff auf den Server haben, musst du auch den Zugriff auf den LDAP
freigeben, also den entsprechenden Port.
Kann man nicht eine Gruppe "LDAP-Abfrager" erstellen? So ähnlich wie die
allowed-hosts? und für diese Gruppe dann die Firewall-REgel erstellen.
sehr wahrscheinlich müßten dann ALLE User in diese Gruppe und dann macht
die Gruppe keinen wirklichen Sinn.
Zum (Sicherheits-)Konzept des LDAPs - es gibt 3 wichtige Teilaspekte
(das sog. Triple-A):
1. Access - Die Möglichkeiten, wie man überhaupt Zugang zu einem Dienst
erhalten kann
2. Authentifizierung - Die Fähigkeit, dem Dienst zu beweisen, dass ein
Client ein echter User ist
3. Autorisierung - Der Service gewährt oder entzieht dem Client
bestimmte Rechte, erlaubt oder verbietet ihm die Ausführung bestimmter
Tätigkeiten.
Zu 1. hier gehört sicherlich rein, dass eine Firewall nur die Rechner
(also IPs) reinlässt, die auch rein dürfen. Es gehört hier aber auch
rein, dass der Zugriff sicher ist, also verschlüsselt, wenn der Zugriff
aus dem Netz erfolgt (also nicht vom gleichen Rechner/Server).
zu 2. Authentifizieren (und damit an den LDAP binden, also ein "bind"
ausführen) kann man sich nur, wenn man auch Zugriff auf den LDAP hat.
Bei uns erfolgt die Squid-Anmeldung am LDAP, also muss sich auch jeder
Lehrer und Schüler am LDAP anmelden können. Das ist für viele Dienste
so, z.B. auch bei owncloud, Apache usw., sofern so konfiguriert.
Eine andere Möglichkeit ist, das für den Bind (Authentifzierung) ein
Stellvertreter diese Aufgabe übernimmt. Bei unseren Server erfolgt der
Bind bei den Scripten prinzipiell über cn=admin,dc=... . In gleicher Art
funktioniert das auch bei Samba. Dort wird in der smb.conf das Bind bei
uns ebenfalls mit cn=admin,dc=... erledigt.
zu 3. Autorisierung: für jeden Eintrag im LDAP wird festgelegt, wer auf
welchen Eintrag und gegebenenfalls auch auf die Attribute und zudem noch
wie zugreifen kann. Möglich ist da:
- none: keine Zugriffsberechtigung
- disclose: Existenzprüfung zur Fehlerverfolgung
- auth: Möglichkeit, einen "bind" als Zielobjekt durchzuführen
- compare: Durchführung von Vergleichen
- search: Anwendung von Suchfiltern auf das Zielobjekt
- read: Lesender Zugriff auf das Zielobjekt
- write: Schreibender Zugriff auf das Zielobjekt
- manage: Vollzugriff einschließlich der benötigten Rechte, um auf
operationelle Attribute zuzugreifen
Soweit ich das verstanden habe, verwendet ihr noch die slapd.conf. Dort
sollten sich ähnliche Einträge finden wie:
access to *
by
group/organizationalRole/roleOccupant="cn=admin,dc=delixs-schule,dc=de"
manage
by * none break
access to dn.exact="cn=admin,dc=delixs-schule,dc=de"
attrs=userPassword
by self write
by anonymous auth
usw.
Das von dir angestrebte Verfahren sieht für mich so aus, als ob du
irgendwie Authentifizierung und Autorisierung vermischen willst und
dabei auch noch auf eine Beschränkung des Zugangs verzichten willst.
Selbst wenn es gehen würde und hinreichend sicher sein sollte (was ich
bezweifel), wäre das zumindest kein guter Stil.
Nochmal (zumindest aus meiner Sicht):
Access: Firewall - lässt ermöglicht erwünschten Rechnern LDAP-Zugriff
Authentifizierung: - es erfolgt ein Bind (es gibt mehrere Möglichkeiten)
Autorisierung: - durch die ACLs wird gesteuert, wer auf was Zugriff hat
Fazit: das mit der "LDAP-Gruppe" ist aus meiner Sicht kein wirklicher Weg.
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
