![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
На последней линуксовке в году рассказал о том, что мы готовим для Fedora 21. Даже демо отработало, чего не было уже давно. Без демо-эффекта не обошлось, но в целом все получилось. Видео обещали выложить, а слайды доступны тут: http://talks.vda.li/2013/12-mlug/
HBAC в SSSD/FreeIPA (часть 2)
Jul. 23rd, 2011 10:39 pmНаписал модуль для тестирования HBAC:
https://www.redhat.com/archives/freeipa-devel/2011-July/msg00375.html
1. Симулируем доступ к службе, используя все включенные правила в IPA:
2. Симулируем доступ к службе, используя все включенные правила + указанные в --rules (возможно отключенные):
3. Симулируем доступ, используя только правила, указанные в --rules (--validate ограничивает список правил только теми, что в --rules):
4. Симулируем доступ и получаем подробный отчет, какие из включенных в IPA правил сработали:
--validate включает детальный показ результатов применения правил, а если используется вместе с --rules, то ограничивает список проверяемых правил только указанными в --rules.
По всей видимости, --validate нужно переименовать во что-то иное (--detail?) и перекрыть --all для указания того, что к --rules надо добавить все включенные правила в IPA, иначе логика не очень ясна, по крайней мере, коллега уже успел ошибиться при тестировании.
https://www.redhat.com/archives/freeipa-devel/2011-July/msg00375.html
1. Симулируем доступ к службе, используя все включенные правила в IPA:
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh -------------------- Access granted: True --------------------
2. Симулируем доступ к службе, используя все включенные правила + указанные в --rules (возможно отключенные):
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --rules=my-second-rule -------------------- Access granted: True --------------------
3. Симулируем доступ, используя только правила, указанные в --rules (--validate ограничивает список правил только теми, что в --rules):
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --rules=my-second-rule,new-rule --validate -------------------- Access granted: True -------------------- Passed rules: new-rule Denied rules: my-second-rule
4. Симулируем доступ и получаем подробный отчет, какие из включенных в IPA правил сработали:
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --validate -------------------- Access granted: True -------------------- Passed rules: allow_all Denied rules: my-second-rule, my-third-rule, myrule
--validate включает детальный показ результатов применения правил, а если используется вместе с --rules, то ограничивает список проверяемых правил только указанными в --rules.
По всей видимости, --validate нужно переименовать во что-то иное (--detail?) и перекрыть --all для указания того, что к --rules надо добавить все включенные правила в IPA, иначе логика не очень ясна, по крайней мере, коллега уже успел ошибиться при тестировании.
HBAC в SSSD/FreeIPA (часть 2)
Jul. 23rd, 2011 10:39 pmНаписал модуль для тестирования HBAC:
https://www.redhat.com/archives/freeipa-devel/2011-July/msg00375.html
1. Симулируем доступ к службе, используя все включенные правила в IPA:
2. Симулируем доступ к службе, используя все включенные правила + указанные в --rules (возможно отключенные):
3. Симулируем доступ, используя только правила, указанные в --rules (--validate ограничивает список правил только теми, что в --rules):
4. Симулируем доступ и получаем подробный отчет, какие из включенных в IPA правил сработали:
--validate включает детальный показ результатов применения правил, а если используется вместе с --rules, то ограничивает список проверяемых правил только указанными в --rules.
По всей видимости, --validate нужно переименовать во что-то иное (--detail?) и перекрыть --all для указания того, что к --rules надо добавить все включенные правила в IPA, иначе логика не очень ясна, по крайней мере, коллега уже успел ошибиться при тестировании.
https://www.redhat.com/archives/freeipa-devel/2011-July/msg00375.html
1. Симулируем доступ к службе, используя все включенные правила в IPA:
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh -------------------- Access granted: True --------------------
2. Симулируем доступ к службе, используя все включенные правила + указанные в --rules (возможно отключенные):
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --rules=my-second-rule -------------------- Access granted: True --------------------
3. Симулируем доступ, используя только правила, указанные в --rules (--validate ограничивает список правил только теми, что в --rules):
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --rules=my-second-rule,new-rule --validate -------------------- Access granted: True -------------------- Passed rules: new-rule Denied rules: my-second-rule
4. Симулируем доступ и получаем подробный отчет, какие из включенных в IPA правил сработали:
[root host0 ~]# ipa hbactest --user=a1a --srchost=foo --host=bar --service=ssh --validate -------------------- Access granted: True -------------------- Passed rules: allow_all Denied rules: my-second-rule, my-third-rule, myrule
--validate включает детальный показ результатов применения правил, а если используется вместе с --rules, то ограничивает список проверяемых правил только указанными в --rules.
По всей видимости, --validate нужно переименовать во что-то иное (--detail?) и перекрыть --all для указания того, что к --rules надо добавить все включенные правила в IPA, иначе логика не очень ясна, по крайней мере, коллега уже успел ошибиться при тестировании.
HBAC в SSSD/FreeIPA
Jul. 11th, 2011 05:40 pmНемного о том, чем я сейчас занят. Записи с тегом "заметки-на-полях" -- моя внутренняя кухня, не предназначенная для активного обсуждения и цитирования вне этого ЖЖ. Мой мозг пока с трудом привыкает к большому объему нового (и вспоминанию старого) кода, поэтому заметки скорее для себя, чем разъяснения для других. Если объем превысит выделяемое самим собой время, я просто отключу комментарии, чтобы не отвлекаться, не обессудьте.
( Read more... )
( Read more... )
HBAC в SSSD/FreeIPA
Jul. 11th, 2011 05:40 pmНемного о том, чем я сейчас занят. Записи с тегом "заметки-на-полях" -- моя внутренняя кухня, не предназначенная для активного обсуждения и цитирования вне этого ЖЖ. Мой мозг пока с трудом привыкает к большому объему нового (и вспоминанию старого) кода, поэтому заметки скорее для себя, чем разъяснения для других. Если объем превысит выделяемое самим собой время, я просто отключу комментарии, чтобы не отвлекаться, не обессудьте.
( Read more... )
( Read more... )
