Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ateliers:serveurmail:ldap-ssh [2018/06/28 20:27] – créée okhin
+++ ateliers:serveurmail:ldap-ssh [2018/06/28 20:33] (Version actuelle) – [Contrôle de droits d'accès] Typos okhin
@@ Ligne 26: / Ligne 26: @@
     MAY ( sshPublicKey $ uid )
     )
+</code>
 Le schéma est relativement simple, il fournit une objectClass structurelle qui s'appelle ldapPublicKey et à laquelle est ajouté un champ sshPublicKey (et uid si, par exemple, on ne veut pas stocker les utilisateurs, ou associer une clef à autre chose).
@@ Ligne 79: / Ligne 79: @@
 <code|ldif>
+$ ldapmodify -xWD "uid=okhin,ou=Users,dc=anarcha,dc=pink"
 cn: uid=okhin.ou=Groups,dc=anarcha,dc=pink
 changetype: modify
@@ Ligne 90: / Ligne 91: @@
 Le contenu de la clef doit être insérée sans retour à la ligne ou espaces. A partir de là, si l'utilisateur okhin se connecte sur le serveur, celui ci ira récupéré la valeur de sa clef SSH sur l'annuaire LDAP. Il est d'ailleurs possible d'avoir plusieurs sshPublicKey associée à un seul compte.
+==== Contrôle de droits d'accès ====
+Faites un tour dans vos [[ldap-acl|ACL]] pour déterminer qui peut modifier et/ou lire la clef publique, après tout, il ne faudrait pas que n'importe qui puisse modifier les données. EN s'inspirant des ACL sur le userPassword, on peut ajouter une ACL de ce type là:
+<code|ldif>
+olcAccess: {2}to attrs=sshPublicKey
+  by self write
+  by * read
+</code>
+Nous insérons cette ACL en deuxième position, pensez à l'adapter en fonction de votre configuration.