Il giorno gio, 07/02/2008 alle 22.48 +0100, Pierangelo Masarati ha
scritto:
> Michele Codutti wrote:
> > Ho riletto la pagina man di slapd.access ma non mi sembra che si possa
> > usare le netmask con sockurl. Sbaglio?
>
> Infatti, pensavo a peername.
Quindi, supponendo che la sotto-rete privata dei due server sia
10.0.0.0/8, per imporre l'accesso SSL a tutti gli IP tranne quelli della
sotto-rete privata posso scrivere la seguente ACL:
access to *
by ! peername.ip=10.0.0.0%255.0.0.0 ssf=128 break
by ! peername.ip=10.0.0.0%255.0.0.0 stop
by * break
No vero?
> > Ho comunque pensato ad una proposta:
> > supponendo di avere due macchine A e B con indirizzo pubblico
> > $PUBLIC_NAME_A e $PUBLIC_NAME_B passerei dalla seguente ACL sulla
> > macchina A:
> > access to *
> > by sockurl="ldap://$PUBLIC_NAME_A"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_A"; stop
> > by * break
> >
> > alla seguente (sempre sulla macchina A):
> > access to *
> > by sockurl="ldap://$PUBLIC_NAME_A"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_A"; stop
> > by sockurl="ldap://$PUBLIC_NAME_B"; ssf=128 break
> > by sockurl="ldap://$PUBLIC_NAME_B"; stop
> > by * break
> > E similmente sulla macchina B.
> > E questo non dovrebbe dare problemi, il problema reale è che comunque
> > devo specificare tramite il parametro -h le socket in cui stare in
> > ascolto. Dai miei esperimenti non posso aprire una socket su un ip non
> > appartenete alla macchina.
>
> esatto.
>
> > Quindi siamo punto e a capo: devo riavviare
> > il demone slapd in A nel caso in cui la macchina B smetta di funzionare
> > con l'aggiunta del parametro "-h ldap://$PUBLIC_NAME_A $PUBLIC_NAME_B"
> > con buona pace del failover resilente. :-(
> > C'è un motivo tecnico per cui si deve per forza specificare l'indirizzo
> > presente nelle ACL che hanno sockurl nella parte <who> della regola come
> > parametro d'avvio del demone?
> > Non si può aggirare questo vincolo in nessun modo?
>
> Quello che chiami "vincolo" in realta' corrisponde al fatto che il
> daemon, in avvio, si mette in ascolto su quelle interfacce. Se non
> esistono, non puo' farlo.
Sono perfettamente conscio che non posso fare un bind su un IP non
configurato. Il vincolo che intendevo è che non posso fare delle ACL che
contengano un sockurl che non sia specificato nel parametro d'avvio -h
di slapd. Il problema di base è che se aggiungo un IP sulla macchina
devo per forza riavviare il server slapd con il parametro -h aggiornato
per fare in modo che la regola ACL abbia effetto.
E' proprio questa cosa che sto cercando di evitare.
_______________________________________________
OpenLDAP mailing list
OpenLDAP@sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
