Gestions des droits utilisateurs avec annuaire LDAP
Bonjour, je me pose actuellement quelques questions et je ne trouve pas beaucoup de reponses sur google. J'aimerai mettre en place une gestion centralisé des utilisateurs de mon réseaux. Pour cela je compte utiliser LDAP. Je compte donc mettre les utilisateurs postfix, dovecot, apache et mes comptes unix dans cet annuaire pour que les utilisateurs aient le même mot de passe partout et que la gestion soit plus facile et centralisé pour moi. Jusque la, y'a pas trop de probleme et y a masse de tutos sur google. Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre, et que je puisse filtrer sur les vhost d'apache. J'avoue que pour cette question je ne trouve pas de réponse. Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP. Auriez vous des retours d'experience de solutions home-made ou des articles sur google que j'aurai loupé ? Merci d'avance pour votre aide.
Re: Gestions des droits utilisateurs avec annuaire LDAP
Le 04/06/2009 11:17, bougie bougie a écrit : Bonjour, je me pose actuellement quelques questions et je ne trouve pas beaucoup de reponses sur google. = salut J'aimerai mettre en place une gestion centralisé des utilisateurs de mon réseaux. Pour cela je compte utiliser LDAP. Je compte donc mettre les utilisateurs postfix, dovecot, apache et mes comptes unix dans cet annuaire pour que les utilisateurs aient le même mot de passe partout et que la gestion soit plus facile et centralisé pour moi. Jusque la, y'a pas trop de probleme et y a masse de tutos sur google. Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre, et que je puisse filtrer sur les vhost d'apache. J'avoue que pour cette question je ne trouve pas de réponse. = je pense que le package libapache2-mod-ldap-userdir (pour apache 2) ou libapache-authznetldap-perl (pour apache1) devrait d'aider par contre je ne sais pas comment cela marche, tu as aussi : http://forum.hardware.fr/hfr/OSAlternatifs/Installation/apache2-authentification-ldap-sujet_58564_1.htm Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP. Auriez vous des retours d'experience de solutions home-made ou des articles sur google que j'aurai loupé ? Merci d'avance pour votre aide. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Gestions des droits utilisateurs avec annuaire LDAP
bougie bougie a écrit : Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre, et que je puisse filtrer sur les vhost d'apache. J'avoue que pour cette question je ne trouve pas de réponse. Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP. Auriez vous des retours d'experience de solutions home-made ou des articles sur google que j'aurai loupé ? J'utilise des groupes dans LDAP pour ca et j'ajoute les lignes suivantes dans mon fichier de vhost : Directory /var/www/mon-site/ Options FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all # Authentification des utilisateurs AuthType Basic AuthName Top Secret AuthBasicProvider ldap AuthzLDAPAuthoritative on # On n'utilise pas le dn de l'utilisateur dans la variable REMOTE_USER # (on lui affecte l'identifiant utilisé lors de l'authentification) AuthLDAPRemoteUserIsDN off # On recherche le dn de l'utilisateur dans les groupes AuthLDAPGroupAttributeIsDN on # Attributs dans lesquels rechercher l'identifiant de l'utilisateur # dans les groupes (member et uniquemember par défaut) AuthLDAPGroupAttribute uniqueMember AuthLDAPURL ldap://localhost:389/ou=Users,ou=People,dc=entreprise,dc=fr?uid?sub?(objectClass=*) AuthLDAPBindDN cn=apache2,ou=System,dc=entreprise,dc=fr AuthLDAPBindPassword motdepasse Require ldap-group cn=Extranet,ou=Groups,ou=People,dc=entreprise,dc=fr /Directory -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Gestions des droits utilisateurs avec annuaire LDAP
Merci de ta réponse, je vais regarder çà. Pour apache, j'ai trouvé ça : http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html#reqattribute Ca me permeterait de faire la même chose que ce que je vais avec ma BDD SQL. Le 4 juin 2009 11:44, webmaster webmas...@worm-fr.com a écrit : Le 04/06/2009 11:17, bougie bougie a écrit : Bonjour, je me pose actuellement quelques questions et je ne trouve pas beaucoup de reponses sur google. = salut J'aimerai mettre en place une gestion centralisé des utilisateurs de mon réseaux. Pour cela je compte utiliser LDAP. Je compte donc mettre les utilisateurs postfix, dovecot, apache et mes comptes unix dans cet annuaire pour que les utilisateurs aient le même mot de passe partout et que la gestion soit plus facile et centralisé pour moi. Jusque la, y'a pas trop de probleme et y a masse de tutos sur google. Mon probleme et que j'aimerai appliquer des droits. C'est à dire que par exemple, tel utilisateur puisse avoir acces à tel ou tel application mais pas à d'autre, et que je puisse filtrer sur les vhost d'apache. J'avoue que pour cette question je ne trouve pas de réponse. = je pense que le package libapache2-mod-ldap-userdir (pour apache 2) ou libapache-authznetldap-perl (pour apache1) devrait d'aider par contre je ne sais pas comment cela marche, tu as aussi : http://forum.hardware.fr/hfr/OSAlternatifs/Installation/apache2-authentification-ldap-sujet_58564_1.htm Je filtre actuellement les vhost d'apache en ayant mes utilisateurs dans une base SQL et en adaptant mes requetes de selections pour chaque vhost, mais je veux tout centraliser dans un LDAP. Auriez vous des retours d'experience de solutions home-made ou des articles sur google que j'aurai loupé ? Merci d'avance pour votre aide.
