OpenLDAP -> Benutzer haben immer Schreibzugriff

[Gaulomatic]

Hallo zusammen,

ich spiele gerade ein wenig mit OpenLDAP-ACLs herum und habe ein richtig merkwürdiges Phänomen: Benutzer haben immer Schreibzugriff. Ich kann Ihnen zwar in den ACLs jeglichen Zugriff entziehen "to * by * none", worauf hin auch nix mehr gelesen werden kann; aber z.B. eine neue OU erstellen geht immer noch! Ist zum Verrücktwerden! Als Backend benutzte ich (aus Testgründen) LDIF und ich habe keine Overlays oder anderen Schnickschnack eingebunden.

Weiß jemand, was da abgeht?

Viele Grüße aus dem Norden,
Tobias

[Natureshadow]

Hi,

wie soll man das ohne deine Config wissen? Meine Kristallkugel ist gerade in der Reinigung . . .

-nik

[Gaulomatic]

Hi nik,

Sag' den bloß, sie sollen die Kugel behutsam behandeln.. Hier meine komplette slapd.conf:

Code: Alles auswählen

include	/etc/ldap/schema/core.schema 
include	/etc/ldap/schema/cosine.schema 
include	/etc/ldap/schema/nis.schema 
include	/etc/ldap/schema/inetorgperson.schema 
include	/etc/ldap/schema/dyngroup.schema
include	/etc/ldap/schema/ppolicy.schema 
include	/etc/ldap/schema/samba.schema

pidfile	/var/run/slapd/slapd.pid
argsfile	/var/run/slapd/slapd.args
loglevel	4

backend ldif

database	ldif
suffix	"DC=domain,DC=tld"
rootdn	"CN=root,DC=domain,DC=tld"
rootpw	{SSHA}R/QdRFEZbI1TUC7A1xnPBQPU7CDY9nrA
directory	"/var/lib/ldap"

access to * 
	by * none

EDIT: Ich habe mal testhalber HDB als Backend verwendet, da läuft alles, wie es soll.... Komisches Ding...


Grüße,
Tobias

[Natureshadow]

Äh, nein, nicht komisches Ding.

Aus deiner Config schließe ich, dass du - außer deinem access to * by * none-Workaround - gar keine ACLs konfiguriert hast. Und für das LDIF-Backend ist der Default dann offenbar "erlaube alles".

Es hat einen guten Grund, dass Debian meistens sinnvolle Config-Defaults mitliefert. Wenn du diese entfernst, solltest du dich nicht wundern . In der Default-Config steht:

Code: Alles auswählen

access to attrs=userPassword,shadowLastChange
        by dn="@ADMIN@" write
        by anonymous auth
        by self write
        by * none

access to dn.base="" by * read

access to *
        by dn="@ADMIN@" write
        by * read

Das bedeutet:

• Benutzer können ihr eigenes Passwort ändern
• Der Basis-DN darf von allen gelesen werden (da hier oft wichtige Konfigurationsparameter für z.B. SASL stehen)
• Der Admin-DN darf alles
• Alle anderen dürfen nur lesen, außer Passwortfelder

[Gaulomatic]

Doch, doch, das ist merkwürdig.

Zum einen habe ich natürlich zunächst die Standard-ACLs verwendet; bei dieser Einstellung ist mir der Fehler ja überhaupt erst aufgefallen. Danach habe ich schrittweise Rückbau betreiben
bis ich bei dem "Verbiete-Alles-ACE" (!= keine ACL) angekommen war - bei nachwievor gleichem Verhalten. Man muß sich sich die Frage stellen, ob es nicht ein Programmierfehler wäre, wenn bei tatsächlich leerer ACL alles erlaubt sei. Außerdem - wieso sollte das vom Backend abhängig sein?! Deswegen habe bei einen Bug Report bei OpenLDAP erstellt - das kann nur ein Fehler sein, denn mit älteren Versionen habe ich dieses Verhalten nicht beobachten können.

Letztlich ist es (für mich) auch nicht weiter tragisch, da mit LDIF ohnehin einige Overalay-Einstellungen referenzielle Integrität betreffend nicht funktionieren.

Danke für Deine Hilfe & viele Grüße aus dem Norden,
Tobias

[Natureshadow]

Aus man 5 slapd-ldif:

Access Control

The LDIF backend does not honor any of the access control semantics described in slapd.access(5). Only read (=r) access to the entry pseudo-attribute and to the other attribute values of the entries returned by the search operation is honored, which is performed by the frontend.