L'installation du serveur OpenLDAP est standard. Utilisez les paquets de votre distribution Linux, exemple avec Debian :
apt-get install slapdLisez OpenLDAP Software Administrator's Guide, section "Building and Installing OpenLDAP Software" pour plus d'informations.
Le fichier acls.schema doit être placé dans le répertoire /etc/ldap/schema et une ligne
include /etc/ldap/schema/acls.schemaajoutée au début du fichier /etc/ldap/slapd.conf. Au niveau du contrôle d'accès, on peut ajouter les lignes :
#INL access for acls
access to dn="ou=acls,dc=inl,dc=fr"
by dn="uid=nufw,ou=Users,dc=inl,dc=fr" write
by dn="uid=nuauth,ou=Users,dc=inl,dc=fr" read
by dn="cn=admin,dc=inl,dc=fr" write
by * none
L'utilisateur nufw est autorisé à modifier la politique de sécurité alors que l'utilisateur nuauth n'a qu'un droit de lecture sur les ACL.
Pour activer la vérification des ACL sur un annuaire LDAP, nous devons modifier le fichier nuauth.conf comme suit :
nuauth_acl_check_module="libldap"Ensuite, il faut préciser les paramètres de connection à l'annuaire :
ldap_bind_dn="uid=nuauth,ou=Users,dc=inl,dc=fr" ldap_bind_password="secretpassword" ldap_basedn="dc=inl,dc=fr" ldap_acls_base_dn="ou=Acls,dc=inl,dc=fr"
INL a développé un puissant générateur de règles pour NuFW et Netfilter. Cet outil s'appelle Nuface. Il est disponible ici : http://software.inl.fr/trac/trac.cgi/wiki/EdenWall/NuFace Il permet de générer des règles pour NuFW et Netfilter, règles qui sont directement applicables depuis l'interface web.
nuaclgen est un script qui vous permet de gérer des ACL dans un annuaire LDAP.
Il est préférable d'utiliser Nuface plutôt que Nuaclgen dans la mesure où le premier simplifie grandement les opérations. Notamment, lorsque vous utilisez nuaclgen, vous devez modifier manuellement les règles Netfilter alors que Nuface s'en charge pour vous.
Le fichier nuaclgen.conf renferme les informations de connexion à l'annuaire LDAP. Elle doivent être adaptées à votre configuration :
$ldap_host="localhost"; $username="uid=nufw,ou=Users,dc=inl,dc=fr"; $password="writepasswd"; $basedn="ou=Acls,dc=inl,dc=fr";[1]
Pour autoriser les connexions SSH aux membres du groupe 513 à l'aide de l'application /usr/bin/ssh, la règle sera :
nuaclgen -A cn=ssh,ou=Acls,dc=inl,dc=fr -p 6 --dport 22 -AppName "/usr/bin/ssh" -j ACCEPT -g 513
Ou pour une connexion vers un serveur web :
nuaclgen -A cn=apt,ou=Acls,dc=inl,dc=fr -p 6 --dport 80 \ -AppName "/usr/lib/apt/methods/http" -j ACCEPT -g 1042Cette ACL autorise les connexions aux membres du groupe 1042 qui est utilisé par les administrateurs de certains de nos serveurs. Ainsi, les administrateurs ne sont autorisés qu'à récupérer les mise à jour depuis Internet, mais tous les autres utilisateurs se verront refuser l'accès à Internet.
| [1] | Comme nuaclgen.conf contient des informations sensibles, ses permissions doivent être les plus restrictives possible. |