Les ACL dans OpenLDAP

20/06 2017

Principes généraux

Les ACL dans OpenLDAP peuvent se trouver à 2 niveaux, database ou backEnd, sachant qu'il est assez courant d'avoir un backend par database (ou vice-versa).

Les ACL sont donc généralement positionnées dans la configuration de la database.

Syntaxe

La syntaxe globale est :

olcAccess: to [ressource]
  by [à qui] [type d'accès autorisé]
  by [à qui] [type d'accès autorisé]
  by [à qui] [type d'accès autorisé]

Un exemple de base, qui limite l'accès à l'attribut userPassword :

Migration de schéma Sun DSEE vers OpenLDAP

31/05 2017

Comme vu précédemment (https://www.vincentliefooghe.net/content/migration-sun-dsee-vers-openldap) la migration Sun DSEE vers OpenLDAP nécessite une phase d'adaptation des schémas spécifiques.

Si on utilise des attributs ou classes d'objets propres à la structure (ce qui est bien souvent le cas) il faudra adapter la définition pour OpenLDAP.

Exemple d'un fichier 99user.ldif :

Activation LDAPS sur Active Directory

04/05 2017

Contexte

Lors des interactions en LDAP avec Active Directory, certaines actions nécessitent l’utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory.

Ceci est notamment le cas si l’on veut modifier le mot de passe.

Ce document décrit comment activer le LDAPS sur un environnement Active Directory.

Méthodes envisageables

A priori il y a deux méthodes possibles pour activer LDAPS sur un contrôleur de domaine :

CA Identity Manager - Problèmes au lancement

02/05 2017

Récemment, nous avons eu un souci lors du redémarrage d'une instance CA Identity Manager.

Démarrage du UserStore impossible

D'une part, l'annuaire UserStore ne veut pas se lancer. Lorsqu'on tente un démarrage avec la commande dxserver start, on a le message :

dxserver start userstore

Message
userstore does not exist

On vérifie bien que la configuration est là, que les fichiers de données sont également présents... Pas de processus en cours d'exécution.

Protection d'URL avec Basic Auth, avec filtrage IP

17/02 2017

Objet de la manipulation : protéger certaines URL par une authentification basique http, sauf pour certaines adresses IP.

Ceci peut être intéressant dans plusieurs cas :

  • Sécuriser l'accès à des pages d'administration
  • Limiter les accès à un site en construction (ou une partie de site)
  • Réduire les tentatives de piratage par attaque en force, par exemple sur la page de login d'un CMS

Je présente ici le paramétrage pour Apache (version 2.2 et 2.4) ainsi que pour Nginx.

Configuration des services avec systemd

08/12 2016

Lors d'un précédent article sur chkconfig, j'avais décrit comment activer les services sous Red Hat, avec les scripts init.d (à la mode SysV).

Depuis, la majorité des distributions GNU/Linux est passée sous systemd, qui apporte son lot de changement.

LA commande à connaître est maintenant systemctl. C'est elle qui permet de gérer la grande majorité des interactions au niveau administrateur.

La syntaxe est la suivante :

Hack de sites Wordpress avec jquery.min.php / jquery*js

02/12 2016

Depuis quelques jours, je recevais des mails de monit, indiquant un load average trop élevé sur un serveur dont je m'occupe épisodiquement (serveur de l'association Down Up).

Cela m'a semblé curieux, car il  s'agit d'un serveur dédié OVH, avec un Xeon 8 coeurs, et 64 Go de RAM, qui héberge uniquement quelques sites web.

Ayant eu dans le temps des problèmes de piratage de sites, j'ai regardé le nombre de messages dans la file postfix :

Pages

Subscribe to Vincent Lfgh RSS