Il giorno gio, 07/02/2008 alle 22.48 +0100, Pierangelo Masarati ha scritto: > Michele Codutti wrote: > > Ho riletto la pagina man di slapd.access ma non mi sembra che si possa > > usare le netmask con sockurl. Sbaglio? > > Infatti, pensavo a peername. Quindi, supponendo che la sotto-rete privata dei due server sia 10.0.0.0/8, per imporre l'accesso SSL a tutti gli IP tranne quelli della sotto-rete privata posso scrivere la seguente ACL: access to * by ! peername.ip=10.0.0.0%255.0.0.0 ssf=128 break by ! peername.ip=10.0.0.0%255.0.0.0 stop by * break
No vero? > > Ho comunque pensato ad una proposta: > > supponendo di avere due macchine A e B con indirizzo pubblico > > $PUBLIC_NAME_A e $PUBLIC_NAME_B passerei dalla seguente ACL sulla > > macchina A: > > access to * > > by sockurl="ldap://$PUBLIC_NAME_A" ssf=128 break > > by sockurl="ldap://$PUBLIC_NAME_A" stop > > by * break > > > > alla seguente (sempre sulla macchina A): > > access to * > > by sockurl="ldap://$PUBLIC_NAME_A" ssf=128 break > > by sockurl="ldap://$PUBLIC_NAME_A" stop > > by sockurl="ldap://$PUBLIC_NAME_B" ssf=128 break > > by sockurl="ldap://$PUBLIC_NAME_B" stop > > by * break > > E similmente sulla macchina B. > > E questo non dovrebbe dare problemi, il problema reale è che comunque > > devo specificare tramite il parametro -h le socket in cui stare in > > ascolto. Dai miei esperimenti non posso aprire una socket su un ip non > > appartenete alla macchina. > > esatto. > > > Quindi siamo punto e a capo: devo riavviare > > il demone slapd in A nel caso in cui la macchina B smetta di funzionare > > con l'aggiunta del parametro "-h ldap://$PUBLIC_NAME_A $PUBLIC_NAME_B" > > con buona pace del failover resilente. :-( > > C'è un motivo tecnico per cui si deve per forza specificare l'indirizzo > > presente nelle ACL che hanno sockurl nella parte <who> della regola come > > parametro d'avvio del demone? > > Non si può aggirare questo vincolo in nessun modo? > > Quello che chiami "vincolo" in realta' corrisponde al fatto che il > daemon, in avvio, si mette in ascolto su quelle interfacce. Se non > esistono, non puo' farlo. Sono perfettamente conscio che non posso fare un bind su un IP non configurato. Il vincolo che intendevo è che non posso fare delle ACL che contengano un sockurl che non sia specificato nel parametro d'avvio -h di slapd. Il problema di base è che se aggiungo un IP sulla macchina devo per forza riavviare il server slapd con il parametro -h aggiornato per fare in modo che la regola ACL abbia effetto. E' proprio questa cosa che sto cercando di evitare.
_______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap