Discussion :

[fflash]

Bonjour,

Je souhaiterai mettre en place un annuaire LDAP pour une utilisation familiale. Je suis en train de réfléchir à la structure de l'annuaire et 2-3 avis - conseilles seraient le bienvenue.

Le but serait d'avoir un groupe contenant les membres de la famille et que chaque membre puisse posséder son propre annuaire/liste de contacts personnelle accessible par lui seule en lecture/écriture (pas d'accès anonyme). La liste des membres de la famille serait accessible par les membres du groupe famille uniquement. De plus, je souhaiterai avoir une liste de personnes constituée des membres de la famille, mais aussi d'autre personnes éventuelle afin de servir de base d'authentification pour un accès au serveur ftp. Lors du login d'une de ces personnes sur le serveur ftp, elle serait dirigée sur un espace ftp personnel.

Je pensai pour mettre tout cela en place à un dn du genre : dc=domainefamille,dc=com
avec l'admin pour ce suffix. Puis un groupe famille regroupant les uid des membres de la famille, un groupe ftp pour les utilisateurs ftp (Comment intégrer automatiquement ceux du groupe famille?). La grande question, comment gérer l'annuaire perso de chaque membre de la famille ? Faut-il créer une liste de contact au nom du membre concerné et le mettre admin de sa liste par exemple ?

Quand aux droits ... je ne sais pas si il est possible d'ôter celui d'accès anonyme.

J'espère ne pas avoir été trop brouillon, si quelqu'un peut m'aider pour mettre en place une telle structure.

Merci d'avance,

Aurélien

[Tchetch]

Salut,

Pour le carnet d'adresse, personnellement j'utilise contagged, mais je l'ai légèrement modifié pour que celui-ci fonctionne avec la structure suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
o=tchetch
 |
 +ou=addressbook
 |   |
 |   +uid=publicContact1
 |   +uid=publicContact2
 |   +ou=familleUser1
 |   |   |
 |   |   +uid=contact1
 |   |   +uid=contact2
 |   
 +ou=user
 |   |
 |   +uid=familleUser1
 |   +uid=familleUser2
 |
 +ou=groups
 |   |
 |   +cn=ftp
 |   +cn=famille

Ensuite avec une ACL du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
access to dn.regex="(.+),ou=([^,]+),ou=addressbook,o=tchetch$"
        by dn.exact,expand="uid=$2,ou=users,o=tchetch" write
 
access to dn.regex="^ou=([^,]+),ou=addressbook,o=tchetch$" attrs=entry,children
        by dn.exact,expand="uid=$1,ou=users,o=tchetch" write

Je donne les droits d'accès en écriture à leur "ou". Cette solution permet d'utiliser le carnet d'adresse sans avoir à en enregistrer deux sur Thunderbird. Pour contagged, pas défaut, il gère les contacts privés directement comme enfant de l'utilisateur : "uid=contact,uid=familleUser,ou=users,o=tchetch". Ce qui ne me plaît pas vraiment, parce que :
- Soit on enregistre deux carnet d'adresse sur Thunderbird, soit on fait les recherche depuis la racine directement.
- Si on veut déléguer le carnet d'adresse à un autre serveur, ça devient difficile.
- Je trouve ça plus logique.
Par contre si tu veux que les membres de la famille puisse être intégré dans le carnet d'adresse (donc la branche "ou=users,o=tchetch"), tu dois mettre ta recherche depuis la racine (où utiliser les "referrals", ce qui devrait être possible).


Pour interdire l'accès anonyme, tu utilises l'ACL suivantes (comme première ACL dans ta liste) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
# Permettre l'authentification
access to dn.sub="ou=users,o=tchetch"
    by anonymous auth
    by * break
 
# Interdire l'access anonyme de maniere globale
access to *
    by anonymous none
    by * break
 
# Reste des acls dessous

Pour permettre le lecture des utilisateurs ("ou=users,o=tchetch") au membre de la famille, tu vas utiliser une ACL comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
# Chaque utilisateur peut se modifier, les membres du groupe famille peuvent lire toutes les entrees
access to dn.sub="ou=users,o=tchetch"
    by self write
    by set="[cn=famille,ou=groups,o=tchetch]/memberUid & user/uid" read
    by * break

Voilà un peu comment tu peux faire.