Hola a todos. Les consulto lo siguiente, tengo mas o menos 200 Usuarios en un servidor LDAP, y tengo los siguientes servicios que autentican contra el servidor LDAP. Mail (Postfix) Dominio Windows (Samba) Proxy (squid) Messenger (Jabber) La pregunta es, como podria hacer que determinados usuarios solo tenga habilitado el acceso a uno o algunos servicios, es decir que puedan acceder al dominio y nada mas o solo al correo y al messenger, y asi. En algunos pocos casos habra usuarios que tendran acceso a todos los servicios. Como hago esto en el servidor LDAP para que pueda indentificar a que servicios puede acceder? Espero me puedan dar algunas sugerencias. Saludos! -- Armindo T. Díaz Argaña Jefe Div. Desarrollo de Sistemas Coop. Medalla Milagrosa Ltda. "No os toméis la vida demasiado en serio; de todos modos no saldremos vivos de esta." Bernard Le Bouvier de Fontenella
2006/2/7, Armindo Díaz Argaña
Hola a todos.
Les consulto lo siguiente, tengo mas o menos 200 Usuarios en un servidor LDAP, y tengo los siguientes servicios que autentican contra el servidor LDAP.
Mail (Postfix) Dominio Windows (Samba) Proxy (squid) Messenger (Jabber)
La pregunta es, como podria hacer que determinados usuarios solo tenga habilitado el acceso a uno o algunos servicios, es decir que puedan acceder al dominio y nada mas o solo al correo y al messenger, y asi. En algunos pocos casos habra usuarios que tendran acceso a todos los servicios.
Como hago esto en el servidor LDAP para que pueda indentificar a que servicios puede acceder?
deberias de buscar dentro de los esquemas que cada programa utiliza para acceder al LDAP, por ejemplo, en el caso de postfix, se verifica por: ldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(accountStatus=shared))) caso "AccountStatus" teng aun valor distinto de "active".. la cuenta esta desabilitada. ahora en vuestro caso, podrias modificar los esquemas y agregar (caso no existan) un nuevo campo al LDAP y logicamente los filtros de consulta de los programas que mencionaste, por ejemplo: AccountStatusJabber=active AccountStatusSamba=inactive AccountStatusMail=active AccountStatusSquid=inactive
Espero me puedan dar algunas sugerencias.
esto es en teoria, en la pratica usted nos comentara despues !!! ;-) bye -- -- Victor Hugo dos Santos Linux Counter #224399
Victor Hugo dos Santos wrote:
2006/2/7, Armindo Díaz Argaña
: Hola a todos.
Les consulto lo siguiente, tengo mas o menos 200 Usuarios en un servidor LDAP, y tengo los siguientes servicios que autentican contra el servidor LDAP.
Mail (Postfix) Dominio Windows (Samba) Proxy (squid) Messenger (Jabber)
La pregunta es, como podria hacer que determinados usuarios solo tenga habilitado el acceso a uno o algunos servicios, es decir que puedan acceder al dominio y nada mas o solo al correo y al messenger, y asi. En algunos pocos casos habra usuarios que tendran acceso a todos los servicios.
Como hago esto en el servidor LDAP para que pueda indentificar a que servicios puede acceder?
deberias de buscar dentro de los esquemas que cada programa utiliza para acceder al LDAP, por ejemplo, en el caso de postfix, se verifica por:
ldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(accountStatus=shared)))
caso "AccountStatus" teng aun valor distinto de "active".. la cuenta esta desabilitada.
ahora en vuestro caso, podrias modificar los esquemas y agregar (caso no existan) un nuevo campo al LDAP y logicamente los filtros de consulta de los programas que mencionaste, por ejemplo:
AccountStatusJabber=active AccountStatusSamba=inactive AccountStatusMail=active AccountStatusSquid=inactive
Espero me puedan dar algunas sugerencias.
esto es en teoria, en la pratica usted nos comentara despues !!! ;-)
bye
-- -- Victor Hugo dos Santos Linux Counter #224399
Gracias por la sugerencia... Estuve evaluando la misma y debo entrar a modificar código de cada programa que realiza la autenticación con el LDAP, eso es un lindo desafío, aunque no aplicable en mi caso, pues es un servidor en producción y se trata de un SLES 9. Asi que toca ver otra, aunque dudo que la haya. De todos modos muchas gracias, por lo menos ya se como viene la mano. -- Armindo T. Díaz Argaña Jefe Div. Desarrollo de Sistemas Coop. Medalla Milagrosa Ltda. "No os toméis la vida demasiado en serio; de todos modos no saldremos vivos de esta." Bernard Le Bouvier de Fontenella
Hola. El Miércoles, 8 de Febrero de 2006 13:31, Armindo Díaz Argaña escribió:
2006/2/7, Armindo Díaz Argaña
: Hola a todos.
Les consulto lo siguiente, tengo mas o menos 200 Usuarios en un servidor LDAP, y tengo los siguientes servicios que autentican contra el servidor LDAP.
Mail (Postfix) Dominio Windows (Samba) Proxy (squid) Messenger (Jabber)
La pregunta es, como podria hacer que determinados usuarios solo tenga habilitado el acceso a uno o algunos servicios, es decir que puedan acceder al dominio y nada mas o solo al correo y al messenger, y asi. En algunos pocos casos habra usuarios que tendran acceso a todos los servicios.
Victor Hugo dos Santos wrote: producción y se trata de un SLES 9. Asi que toca ver otra, aunque dudo que la haya.
Si es un SLES, desde el Yast, con desactivar el plugin de mailserver para el usuario, le inhabilitas el correo. con desactivar el plugin de samba, le desactivas el acceso a samba. en el proxie lo debes hacer desde la configuracion de acl de squid (lo mas facil es por grupos) y de jabber, ni idea :-) -- Un Saludo. Carlos Lorenzo Matés
participants (3)
-
Armindo Díaz Argaña
-
Carlos Lorenzo Matés
-
Victor Hugo dos Santos