Hvordan sette ACLer på objekter

ITKACL har flere forskjellige grensesnitt; antageligvis vil det komme til flere, men de som er her er de som foreløpig er implementert. Merk at hvis du ønsker å bruke ACLer fra programkode, er noden ITKACLProgrammering mer relevant; denne gjelder også dersom du ønsker å sjekke litt mer differensierte tilganger (se f.eks. ITKACLIntro under "meta-tilganger") fra f.eks. PHP-scripts. De forskjellige modulene er definert under:

Opprette Kerberos-keytab

Dersom det er en vhost som ikke har noe ITKACL fra før av må en keytab opprettes.

# ssh til voff som root

# samba-tool spn add HTTP/<subdomain>.samfundet.no cirkus$
$-tegnet betyr at det er snakk om en maskinkonto

kontroller at keytaben ble lagt til med:
# samba-tool spn list cirkus$

# samba-tool domain exportkeytab <subdomain>.keytab --principal=HTTP/<subdomain>.samfundet.no
# samba-tool domain exportkeytab <subdomain>.keytab --principal=HTTP/cirkus.samfundet.no
# scp <subdomain>.keytab root@cirkus:/etc/apache2/krb5/<subdomain>.keytab

Keytaben må være leselig av apache, eksempelvis:

bruker@cirkus# chown pst-httpd:pst-web /etc/apache2/krb5/<subodmain>.keytab

Apache (mod_auth_kerb + mod_authz_itkacl)

Dette er antageligvis den modulen det blir mest aktuelt for folk å sette opp. For å sette en ACL på et webområde, lager du en .htaccess-fil i den aktuelle katalogen som inneholder noe slikt som:

AuthType Kerberos
KrbAuthRealms AD.SAMFUNDET.NO
Krb5Keytab /etc/apache2/krb5/amsit.keytab
AuthName "AMSIT, Serveringsgjengen"
require itkacl /web/amsit/sg

En del nytt her, kanskje:

For de fleste brukere vil denne autentiseringen foregå som en hvilken som helst vanlig Basic-autentisering (mao.: du burde helst sørge for at systemene fungerer over SSL slik at passord ikke sendes over i klartekst!). For browsere som skjønner Kerberos (dvs. IE6 når man er logget på Active Directory, Mozilla 1.7 og nyere, eller Firefox) vil man imidlertid få full, sikker zero-knowledge-autentisering med single-signon (mao.: logger du inn på en av ITKs arbeidsstasjoner, får du automatisk autentisering mot websystemet også). Veldig fancy. :-)

Husk på å sette opp SSL når du gjør dette!

PAM (pam_itkacl)

PAM brukes til mye rart, men det mest aktuelle for vår del er nok å begrense tilgangen til å logge inn på bokser (så ikke f.eks. hvem som helst har tilgang til å logge inn på cirkus). Det er skrevet en begynnende PAM-modul; sleng følgende i f.eks. /etc/pam.d/common-account eller /etc/pam.d/ssh, alt ettersom:

account    required     pam_itkacl.so realm='/login/itk-workstations'

realm= er selvsagt påkrevd, og er ACL-stien du vil autentisere mot.

Lenker: Start, innsida, hvordan utvikle, itkacl, itkaclintro, itkaclprogrammering, medlemsdb2, hvordan utvikle, request tracker v2, tekniske løsninger

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2017-03-23 19:58 | Revisjon: 28 (historie, blame) | Totalt: 1469 kB | Rediger