[Admin-ml] dscl et SACL

Laurent PERTOIS laurent_pertois at mac.com
Lun 6 Juil 11:21:30 CEST 2009


On 6 juil. 09, at 11:14, Proniewski Patrick wrote:

> On 6 juil. 09, at 10:23, Laurent PERTOIS wrote:
>
>> Effectivement, tu prends le mauvais exemple, ou service qui prévoit  
>> déjà la limitation de connexion par utilisateurs, forcément ça ne  
>> va pas aider. Maintenant, pense à la même chose en AFP, par exemple.
>
> c'est peut être un mauvais exemple, mais c'est le seul service "bas  
> niveau" pour le quel on gère des listes d'accès... Tout le reste, ça  
> se joue dans des portails web, avec de la pseudo-gestion d'identité,  
> et ce n'est pas du tout géré dans l'OD.
>

Ok, évidemment, vu comme ça, tu es mal tombé :-)

>> Déjà, fait ta recherche dans /Search si tu sais que tu as des  
>> éléments qui vont venir d'ailleurs, ce sera plus simple et....  
>> c'est fait pour ça :
>>
>> dscl /Search -search /Groups GeneratedUID blablablabl
>
> hihi, je viens d'essayer avec un utilisateur, donc en faisant un :
>
> dscl /Search -search /Users GeneratedUID FFFFEEEE-DDDD-CCCC-BBBB- 
> AAAA000022A8
>
> sans résultat. Pas de chance en effet, c'est un user du LDAP de  
> l'établissement, il n'a pas de GUID… Je suis donc obligé de faire  
> confiance à GroupMembership pour savoir son nom. J'ai le sentiment  
> qu'il y a quelque chose de violemment foireux dans cette histoire de  
> GroupMembership+GroupMembers. Il y a un mécanisme qui assure la  
> cohérence entre les deux listes, ou c'est au bon vouloir de celui  
> qui édite les listes de membres ?

Mmmm, normalement le GUID fait foi mais s'il n'y en a pas, alors on se  
rabat sur le nom donc le GroupMembership. Ce qui m'étonne c'est que  
pour les SACLs, de mémoire, il ne fait confiance qu'au GUID, mais bon,  
je n'ai jamais poussé le vice si loin vu que je l'ai toujours testé  
avec un Mac OS X Server fournissant les infos, donc avec un GUID.

>
>> Ok, là je te l'accorde, rien d'aussi simple que ton vi, mais avec  
>> le script que je propose on doit pouvoir arriver à un truc facile  
>> qui irait chercher dans GroupMembership et NestedGroups.
>
> je vais regarder, je piquerai peut être des bouts pour mon propre  
> script.
>

Fais suivre :-)

>> Ca se centralise sshd_config ?
>
> pas plus, mais ça ne donne pas l'impression d'avoir le cul entre  
> deux chaises, comme tout ce qui touche à dscl :)

Ben, en même temps, ça ne gère qu'un truc...

> puis un petit scp des familles, ou même une commande ssh bien  
> sentie, peut régler la question. Par ailleurs, dans le monde Unix il  
> y a depuis longtemps des gestionnaires de config (genre capistrano)  
> qui permettent de déployer des config à partir de données  
> centralisées.
>

Ben, scp du fichier plist de la base DSLocal et un killall de  
DirectoryService et tout le monde a le même fichier de config pour le  
groupe com.apple.access_ssh :-)

>
>> dseditgroup aussi, ne l'oublie pas ;-)
>
> tu connais un bon tatoueur ? :D
>

Je propose le fer rouge, un tatouage ça peut s'enlever :-D

>
>> Copie de effectiveMemberOf.sh :
>
>
> je vais jeter un œil. Merci


De nada.

-- 
8.	Terminated??!
101 Things You Do Not Want Your System Administrator To Say





Plus d'informations sur la liste de diffusion Admin-ml