Ho risolto il mio problema. La regola ACL da impostare per fare in modo
che le connessioni provenienti dall'interfaccia pubblica siano cifrate
mentre quelle dell'interfaccia privata possano non esserlo è la
seguente:
access to *
by peername.ip=10.0.0.0%255.0.0.0 break
by peername.ip=0.0.0.0%0.0.0.0 ssf=128 break
by peername.ip=0.0.0.0%0.0.0.0 stop
by * break
Dove la rete privata ha la classe di indirizzi 10.0.0.0/8.
La regola deve essere apposta sopra tutte le altre ed il demone può
essere avviato con il parametro "-h ldap:// ldaps://" mettendolo in
ascolto su tutte le interfacce.
Grazie a tutti per l'interessamento e per l'aiuto.
Michele
Il giorno gio, 07/02/2008 alle 22.48 +0100, Pierangelo Masarati ha
scritto:
> Michele Codutti wrote:
> > Ho riletto la pagina man di slapd.access ma non mi sembra che si possa
> > usare le netmask con sockurl. Sbaglio?
>
> Infatti, pensavo a peername.
>
> > Ho comunque pensato ad una proposta:
> > supponendo di avere due macchine A e B con indirizzo pubblico
> > $PUBLIC_NAME_A e $PUBLIC_NAME_B passerei dalla seguente ACL sulla
> > macchina A:
> > access to *
> > by sockurl="ldap://$PUBLIC_NAME_A"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_A"; stop
> > by * break
> >
> > alla seguente (sempre sulla macchina A):
> > access to *
> > by sockurl="ldap://$PUBLIC_NAME_A"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_A"; stop
> > by sockurl="ldap://$PUBLIC_NAME_B"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_B"; stop
> > by * break
> > E similmente sulla macchina B.
> > E questo non dovrebbe dare problemi, il problema reale è che comunque
> > devo specificare tramite il parametro -h le socket in cui stare in
> > ascolto. Dai miei esperimenti non posso aprire una socket su un ip non
> > appartenete alla macchina.
>
> esatto.
>
> > Quindi siamo punto e a capo: devo riavviare
> > il demone slapd in A nel caso in cui la macchina B smetta di funzionare
> > con l'aggiunta del parametro "-h ldap://$PUBLIC_NAME_A $PUBLIC_NAME_B"
> > con buona pace del failover resilente. :-(
> > C'è un motivo tecnico per cui si deve per forza specificare l'indirizzo
> > presente nelle ACL che hanno sockurl nella parte <who> della regola come
> > parametro d'avvio del demone?
> > Non si può aggirare questo vincolo in nessun modo?
>
> Quello che chiami "vincolo" in realta' corrisponde al fatto che il
> daemon, in avvio, si mette in ascolto su quelle interfacce. Se non
> esistono, non puo' farlo.
>
> Ciao, p.
>
>
>
> Ing. Pierangelo Masarati
> OpenLDAP Core Team
>
> SysNet s.r.l.
> via Dossi, 8 - 27100 Pavia - ITALIA
> http://www.sys-net.it
> ---------------------------------------
> Office: +39 02 23998309
> Mobile: +39 333 4963172
> Email: [EMAIL PROTECTED]
> ---------------------------------------
>
>
>
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
