LDAP (slapd) criando usuários com acesso a árvores específicas

3

Estou configurando um servidor CentOS com o Virtualmin e o Postfix, e estou tentando usar o LDAP para armazenar usuários, grupos, aliases do Postfix e domínios virtuais. Estou seguindo as instruções do site do Webmin .

Eu criei um domínio LDAP e configurei o Postfix para buscar Aliases e Domínios Virtuais do LDAP, mas para fazer isso eu tive que configurar o postfix para autenticar com a conta LDAP principal, cn=Manager,dc=mydomain,dc=com . Esta parece ser uma ideia terrível, porque essa conta tem acesso aos Usuários e Grupos, para os quais o postfix não precisa de acesso.

Como posso criar uma nova conta LDAP para o Postfix, que só tem acesso às árvores LDAP que o Postfix precisa?

    
por Josh 08.03.2010 / 22:23

2 respostas

6

Você precisa fazer duas coisas:

  1. Cria um objeto no diretório LDAP ao qual o Postfix pode se ligar (conectar-se a)
  2. Escreva uma ACL na configuração do OpenLDAP para permitir que esse usuário faça a vinculação e pesquise a árvore como desejar

Para adicionar uma entrada simples para o Postfix, use um navegador LDAP gráfico (como Apache Directory Studio ou com o comando ferramenta de linha ldapadd . Adicione um objeto como este:

dn: cn=postfix,ou=Applications,dc=mydomain,dc=com
cn: postfix
objectClass: simpleSecurityObject
objectClass: organizationalRole
userPassword: {SSHA}n+aYhO/TOitWkyMp9v/fe5ndtOhY0/3U

Esta última linha é um hash da senha que você deseja usar, gerada através do utilitário slappasswd:

$ slappasswd -s secret
{SSHA}n+aYhO/TOitWkyMp9v/fe5ndtOhY0/3U

Uma vez feito isso, adicione algumas ACLs ao seu slapd.conf que se parecem com isto:

access to dn.sub="dc=mydomain,dc=com" attrs=userPassword
    by anonymous auth

access to dn.sub="ou=people,dc=mydomain,dc=com"
    by dn.exact="cn=postfix,ou=Applications,dc=mydomain,dc=com" read

Consulte o capítulo do guia de administração do OpenLDAP sobre controle de acesso para obter mais detalhes sobre como escrever o ACL e seus interpretação. Cuidado com a ordem em que estão, é importante!

    
por 12.03.2010 / 00:04
1

Esta parte de "LDAP for Rocket Scientists" explica como configurar um ACL para partes de sua árvore do servidor LDAP.

    
por 08.03.2010 / 22:31