Difference between revisions of "HBAC"
From A-Eskwiki
(→HBAC en Apache) |
|||
Line 38: | Line 38: | ||
ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service | ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service | ||
ipa hbacrule-add $rulename # Kies een mooie naam | ipa hbacrule-add $rulename # Kies een mooie naam | ||
− | ipa hbacrule-add-service $ | + | ipa hbacrule-add-service $rulename |
− | ipa hbacrule-add-host $ | + | ipa hbacrule-add-host $rulename --hosts=$hostname |
− | ipa hbacrule-add-user $ | + | ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups] |
Latest revision as of 16:32, 20 November 2014
De HBAC-module van IPA bepaalt wie wat mag doen op welke machine. Hieronder een overzicht van de ingeschakelde regels.
Regel | Wie | Wat | Waar |
---|---|---|---|
Iedereen | SMTP, dovecot | vm-mail | |
Sysop | sysop | alles | overal |
WS+Extern | bestuur, cies, extern, mensjes | alles | workstations, vm-extern |
WWW | webcie | alles | vm-www, vm-www-debug |
HBAC en Apache
Naast authenticatie voor Apache kan mod_authnz_pam ook autorisatie verzorgen. Hiertoe moet er een HBAC-regel en PAM-service aangemaakt worden. Het aanmaken van de pam-service is triviaal, maak in /etc/pam.d/ een bestand aan met als naam de naam van de te configureren service en de volgende inhoud:
auth required pam_sss.so account required pam_sss.so
Voeg de zojuist aangemaakte service toe aan IPA en maak de HBAC-regel:
ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service ipa hbacrule-add $rulename # Kies een mooie naam ipa hbacrule-add-service $rulename ipa hbacrule-add-host $rulename --hosts=$hostname ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups]