Anonymous
Оно ещё будет жить, потому что во всяких телекомах и банках это не быстрое дело смена чего-нибудь
Anonymous
Плюс саппорт есть и обязательства перед клиентами
Александр
4.0 в альфе уже
Anonymous
Просто их концепция больше не подходит
Anonymous
База вот эта вот
Anonymous
Огромная
Anonymous
С требованиями
Александр
А как иначе? (Не срама ради)
Александр
Мне правда интересно
Anonymous
Хелс чеки
Anonymous
Простые
Anonymous
И возможность мониторить приложение по апи. Но нужно и софт соответственный писать.
Sergei
Александр
Я про архитектуру
Александр
Но и так нормально
Nklya
Небольшая статичная инфраструктура и тупые админы - целевая аудитория
Anonymous
Добавить вмочку, убить вмочку. Закрыть заявочку, открыть заявочку.
Anonymous
Вот для таких кейсов
Anonymous
Забикс
🏳️ Phil
#book #nginx #pdf ModSecurity 3 for Nginx
Dmitry
А вот вопрос. Может ли OpenVPN использовать CN как юзернейм?
Dmitry
Чтобы я мог разрешить-запретить доступ для конкретного юзера
Dmitry
Юзаю через OpenVPN Access Server и LDAP
Uncel
Такой костыль https://random.ac/cess/2013/09/21/openvpn-with-freeradius-common-name-as-username/
Dmitry
то есть из коробки не катит?
Uncel
Можно пам модуль захачить ( у меня радиус в лдап смотрел )
Uncel
Возможно есть еще какие-то хаки с переменными
Dmitry
а как работает TLS-only подключение?
Dmitry
как мне разрешить-запретить юзера?
Dmitry
только банить ключ?
Dmitry
а через ldap это можно сделтаь?
Uncel
Да, флаг добавить, много вариантов
Dmitry
я хочу whitelist подход.
Uncel
imho тулинг у какого-нибудь стронгсвана куда лучше
Dmitry
у меня узкий юзкейс, там одновременное подключеине типа 2-3
Dmitry
но общий потенциальный список большой
Dmitry
Как реализовать "все что не одобрено - все забанено"
Dmitry
?)
Dmitry
но все клиенты имеют реальные ключи по умолчанию
Dmitry
Это когда на LDAP прилеплена группа "РазрешеноКПоделючению"?
Dmitry
Что будет если LDAP запись не создана? какое дефолтное поведение?
Dmitry
(и сертификат нормельно валидируется CA)
aborche
Чтобы я мог разрешить-запретить доступ для конкретного юзера
У меня на каждого юзер есть pf rules. При подключении в pf вливаются правила для текущей сессии. На этапе connect-disconnect можно проверять всё что угодно. Ошибка возникающая в скрипте - рвёт соединение
aborche
Надо почитать
Там обычные скрипты. В env передаются все параметры сессии. Ещё можно навесить проверку на валидность сертификата, но оно глючит
Alexey
Как реализовать "все что не одобрено - все забанено"
У опенвпн есть этап верификации ключей в котором ты можешь запускать свои скрипты, tls-verify параметр, в нем у тебя будет доступ к CN и прочим данным сертификата и можешь блокировать разрешать доступ как тебе вздумается
Denis 災 nobody
Можно пам модуль захачить ( у меня радиус в лдап смотрел )
крутить пам+нсс разве не штатная интеграция с лдап?
Sergey
крутить пам+нсс разве не штатная интеграция с лдап?
штатная. nslcd для этого существует, или кому не жалко нервов - FreeIPA со своим дружком sssd.
Denis 災 nobody
sssd шикарен, настроил с нуля (кроме сертов) за день
Denis 災 nobody
саппорт перевели в лдап, туда же подсунули ssh ключи
Denis 災 nobody
а что есть freeIPA?
Denis 災 nobody
вообще, еще со времен универа (год так 2005) только pam+nss были для авторизации через ldap
Andrew
Andrew
Только позитив от их использования.
Denis 災 nobody
Только позитив от их использования.
кста, а вы решали задачу: локальные группы юзеру из лдап?
Denis 災 nobody
например, чтобы юзер автоматом получал группы в -G типа nginx, где uid не зафиксирован
Andrew
Ну если есть юзер и локально, то он подхватит локальные же группы по умолчанию.
Denis 災 nobody
и задачу логин-скриптов из лдапа
Denis 災 nobody
Ну если есть юзер и локально, то он подхватит локальные же группы по умолчанию.
сейчас просто делаем usermod после его входа и нужен перелогин. Хотелось бы без перелогина, чтобы сразу получал всё. Для одной группы есть
group: files [SUCCESS=merge] sss
Denis 災 nobody
в nsswitch
Andrew
т.е. добавляете юзера в локальные группы и хотите чтобы они подхватывались без перелогина?
Denis 災 nobody
Denis 災 nobody
без двойного перелогина для применения. Понятно что просто поменяли в базе - сразу не применится
Andrew
ну вот нет проблемы.
Добавил щас для теста себя в другую группу и id сразу показала это
Andrew
group: files sss
Denis 災 nobody
сам юзер при этом в лдап?
Andrew
да
Denis 災 nobody
надо тогда проверить еще раз
Denis 災 nobody
ну вот нет проблемы.
Добавил щас для теста себя в другую группу и id сразу показала это
так, а что как куда добавляли, в какие атрибуты
Andrew
ну я вручную в /etc/group
Denis 災 nobody
а, не
Denis 災 nobody
нужно именно в лдапе править
Denis 災 nobody
"вручную" у нас скрипт и делает
Andrew
так стоп.
А что в ldap содержатся "локальные" группы?