Difference between revisions of "HBAC"
From A-Eskwiki
(Created page with "category:sysop category:IPA De HBAC-module van IPA bepaalt wie wat mag doen op welke machine. Hieronder een overzicht van de ingeschakelde regels. {| class="wikitable...") |
(→HBAC en Apache) |
||
| (4 intermediate revisions by the same user not shown) | |||
| Line 4: | Line 4: | ||
{| class="wikitable" | {| class="wikitable" | ||
| − | |||
! style="text-align:left;"| Regel | ! style="text-align:left;"| Regel | ||
! Wie | ! Wie | ||
| Line 30: | Line 29: | ||
|vm-www, vm-www-debug | |vm-www, vm-www-debug | ||
|} | |} | ||
| + | |||
| + | == HBAC en Apache == | ||
| + | Naast authenticatie voor Apache kan [[mod_authnz_pam]] ook autorisatie verzorgen. Hiertoe moet er een HBAC-regel en PAM-service aangemaakt worden. Het aanmaken van de pam-service is triviaal, maak in /etc/pam.d/ een bestand aan met als naam de naam van de te configureren service en de volgende inhoud: | ||
| + | auth required pam_sss.so | ||
| + | account required pam_sss.so | ||
| + | |||
| + | Voeg de zojuist aangemaakte service toe aan IPA en maak de HBAC-regel: | ||
| + | ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service | ||
| + | ipa hbacrule-add $rulename # Kies een mooie naam | ||
| + | ipa hbacrule-add-service $rulename | ||
| + | ipa hbacrule-add-host $rulename --hosts=$hostname | ||
| + | ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups] | ||
Latest revision as of 16:32, 20 November 2014
De HBAC-module van IPA bepaalt wie wat mag doen op welke machine. Hieronder een overzicht van de ingeschakelde regels.
| Regel | Wie | Wat | Waar |
|---|---|---|---|
| Iedereen | SMTP, dovecot | vm-mail | |
| Sysop | sysop | alles | overal |
| WS+Extern | bestuur, cies, extern, mensjes | alles | workstations, vm-extern |
| WWW | webcie | alles | vm-www, vm-www-debug |
HBAC en Apache
Naast authenticatie voor Apache kan mod_authnz_pam ook autorisatie verzorgen. Hiertoe moet er een HBAC-regel en PAM-service aangemaakt worden. Het aanmaken van de pam-service is triviaal, maak in /etc/pam.d/ een bestand aan met als naam de naam van de te configureren service en de volgende inhoud:
auth required pam_sss.so account required pam_sss.so
Voeg de zojuist aangemaakte service toe aan IPA en maak de HBAC-regel:
ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service ipa hbacrule-add $rulename # Kies een mooie naam ipa hbacrule-add-service $rulename ipa hbacrule-add-host $rulename --hosts=$hostname ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups]
