Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tuto:ipasserelle:authentification:auth_ldap_sur_sme_pour_apache [22/07/2010 19:07]
dani créée
+++ tuto:ipasserelle:authentification:auth_ldap_sur_sme_pour_apache [12/07/2012 23:12] (Version actuelle)
dani Page moved from auth_ldap_sur_sme_pour_apache to tuto:ipasserelle:authentification:auth_ldap_sur_sme_pour_apache
@@ Ligne 36: / Ligne 36: @@
 </code>
-Dans cet exemple, tout les membres du groupe **tech** seront authorisés à accéder à la ressources après s'être authentifié correctement. Pour plus d'information sur la configuration de mod_authnz_ldap: http://httpd.apache.org/docs/2.1/mod/mod_authnz_ldap.html et http://httpd.apache.org/docs/2.1/mod/mod_ldap.html
+Dans cet exemple, tous les membres du groupe **tech** seront authorisés à accéder à la ressource après s'être authentifié correctement. Pour plus d'information sur la configuration de mod_authnz_ldap: http://httpd.apache.org/docs/2.1/mod/mod_authnz_ldap.html et http://httpd.apache.org/docs/2.1/mod/mod_ldap.html
+Si notre serveur apache ne se trouve pas sur le réseau local, il faut autoriser son IP publique à accéder à notre serveur LDAP:
+<code bash>
+db configuration setprop ldap access public AllowHosts 12.13.14.15
+expand-template /etc/rc.d/init.d/masq
+/etc/init.d/masq adjust
+expand-template /etc/hosts.allow
+</code>
+====== Modification des ACL ======
+Ça peut être utile de modifier les ACL LDAP de SME. Par exemple
+<code bash>
+mkdir -p /etc/e-smith/templates-custom/etc/openldap/slapd.conf
+cat<<"EOF" > /etc/e-smith/templates-custom/etc/openldap/slapd.conf/95acls
+access to attrs=userPassword
+        by self         read
+        by anonymous    peername.ip="127.0.0.1" auth
+        by anonymous    ssf=128 auth
+        by *            none
+access to *
+        by self         read
+        by users   peername.ip=192.168.7.0%255.255.255.0     read
+        by users ssf=128 read
+        by *            peername.ip="127.0.0.1" read
+        by *            none
+EOF
+</code>
+Ces ACL permettent:
+  * d'interdire la lecture de l'arbre en anonymous, sauf depuis localhost
+  * les utilisateurs authentifiés peuvent lire le contenu (sauf le userPassword), uniquement si la connexion est sécurisée