Denne siden er arkivert, og kan inneholde utdatert, gammel eller feil informasjon.

DENNE NODEN ER UTDATERT OG ERSTATTET AV AUTENTISERING- OG AUTORISERINGSNODEN

Hvordan sette ACLer på objekter

ITKACL har flere forskjellige grensesnitt; antageligvis vil det komme til flere, men de som er her er de som foreløpig er implementert. Merk at hvis du ønsker å bruke ACLer fra programkode, er noden ITKACLProgrammering mer relevant; denne gjelder også dersom du ønsker å sjekke litt mer differensierte tilganger (se f.eks. ITKACLIntro under "meta-tilganger") fra f.eks. PHP-scripts. De forskjellige modulene er definert under:

Opprette Kerberos-keytab

Dersom det er en vhost som ikke har noe ITKACL fra før av må en keytab opprettes.

# ssh til voff som root

# samba-tool spn add HTTP/<subdomain>.samfundet.no cirkus$
$-tegnet betyr at det er snakk om en maskinkonto

kontroller at keytaben ble lagt til med:
# samba-tool spn list cirkus$

# samba-tool domain exportkeytab <subdomain>.keytab --principal=HTTP/<subdomain>.samfundet.no
# samba-tool domain exportkeytab <subdomain>.keytab --principal=HTTP/cirkus.samfundet.no
# scp <subdomain>.keytab root@cirkus:/etc/apache2/krb5/<subdomain>.keytab

Keytaben må være leselig av apache, eksempelvis:

bruker@cirkus# chown pst-httpd:pst-web /etc/apache2/krb5/<subodmain>.keytab

Hvis du setter opp en uka instans skal det være uka-httpd:uka-web, og tilsvarende for ufs. ufs-httpd:ufs-web

Apache (mod_auth_gssapi + mod_authz_itkacl)

Dette er antageligvis den modulen det blir mest aktuelt for folk å sette opp. For å sette en ACL på et webområde, lager du en .htaccess-fil i den aktuelle katalogen som inneholder noe slikt som:

AuthType GSSAPI
GssapiCredStore keytab:/etc/apache2/krb5/amsit.keytab
GssapiCredStore cache:MEMORY:user_ccache
GssapiBasicAuth On
GssapiAllowedMech krb5
GssapiBasicAuthMech krb5
GssapiNegotiateOnce On
AuthName "AMSIT, Serveringsgjengen"
require itkacl /web/amsit/sg

En del nytt her, kanskje:

"AuthType GSSAPI" spesifiserer at området skal bruke GSSAPI-autentisering (dvs. mod_auth_gssapi).
"GssapiCredStore keytab:/etc/apache2/krb5/amsit.keytab" spesifiserer filen til vhostens Kerberos-keytab, som finnes på cirkus. Denne er nødvendig for at cirkus skal kunne verifisere KDCen.
"AuthName" er et navn som kommer opp idet brukeren blir spurt om brukernavn og passord. Utover dette har det ingen betydning, men du kan jo skrive noe vettugt her uansett.
"Require itkacl /web/amsit/sg" spesifiserer at ITKACL-autentisering (mod_authz_itkacl) skal brukes, og hvilket ACL-område man skal autentisere mot. Her må man selvsagt bytte ut området med den man er interessert i å autentisere mot.

For de fleste brukere vil denne autentiseringen foregå som en hvilken som helst vanlig Basic-autentisering (mao.: du burde helst sørge for at systemene fungerer over SSL slik at passord ikke sendes over i klartekst!). For browsere som skjønner Kerberos (dvs. IE6 når man er logget på Active Directory, Mozilla 1.7 og nyere, eller Firefox) vil man imidlertid få full, sikker zero-knowledge-autentisering med single-signon (mao.: logger du inn på en av ITKs arbeidsstasjoner, får du automatisk autentisering mot websystemet også). Veldig fancy. :-)

Husk på å sette opp SSL når du gjør dette!

PAM (pam_itkacl)

PAM brukes til mye rart, men det mest aktuelle for vår del er nok å begrense tilgangen til å logge inn på bokser (så ikke f.eks. hvem som helst har tilgang til å logge inn på cirkus). Det er skrevet en begynnende PAM-modul; sleng følgende i f.eks. /etc/pam.d/common-account eller /etc/pam.d/ssh, alt ettersom:

account    required     pam_itkacl.so realm='/login/itk-workstations'

realm= er selvsagt påkrevd, og er ACL-stien du vil autentisere mot.

Lenker: Start, innsida, hvordan utvikle, itkacl, itkaclintro, itkaclprogrammering, request tracker v2, tekniske løsninger, utleggsys