Aller au contenu | Aller au menu | Aller à la recherche

Blog de Thomas Martin

Tag - openbsd

Fil des billets - Fil des commentaires

samedi 29 janvier 2011

Serveur ldapd sous OpenBSD 4.8

Par Thomas Martin le samedi 29 janvier 2011, 21:25 - Tech

Voici le compte-rendu très bref d'un test de ldapd, le serveur LDAP désormais intégré dans le système de base d'OpenBSD, depuis la version 4.8. Je me suis pour l'instant contenté d'une configuration minimale permettant d'écrire puis lire une entrée LDAP.

Dans le fichier de configuration /etc/ldapd.conf, autoriser les connexions non sécurisées avec un mot de passe en clair, le temps des tests :

listen on lo0 secure

Et créer un namespace, avec un DN ayant les permissions pour le modifier :

namespace "dc=example,dc=com" {
        rootdn          "cn=admin,dc=example,dc=com"
        rootpw          "secret"
}

Lancer le daemon avec la simple commande suivante :

# ldapd

Créer l'object racine de notre namespace, avec ldapadd :

cat <<EOT | ldapadd -x -W -D cn=admin,dc=example,dc=com
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example
dc: example
EOT

Lire l'entrée nouvellement créée :

ldapsearch -x -b dc=example,dc=com

Voilà, pour en savoir plus, comme il s'agit d'un projet tout jeune, la source d'information principale est la page de man ldapd(8).

aucun commentaire aucun rétrolien

dimanche 12 décembre 2010

Upgrade OpenBSD : attention à l'umask

Par Thomas Martin le dimanche 12 décembre 2010, 23:24 - Tech


Vous déclarez peut-être un umask restrictif dans le fichier de configuration de votre shell (.bashrc, .cshrc, etc), 077 par exemple.
Si c'est le cas, attention lorsque vous effectuez une mise-à-jour de votre système OpenBSD (ou potentiellement d'un autre système BSD). En effet, si vous utilisez une commande tel que sudo -s pour passer root, afin d'effectuer la copie des nouveaux fichiers de configuration du système de base, ou avant d'exécuter pkg_add -ui pour mettre les packages à jour, votre umask sera pris en compte. La conséquence est que des fichiers qui sont normalement accessibles à tous les utilisateurs, par exemple /etc/mutt/Muttrc ou /etc/screenrc, seront affectés par cet umask, et se retrouveront avec des permissions à priori incorrectes, qui empêcheront leur lecture par un simple utilisateur.

Conclusion : dans ces cas là, utilisez plutôt su(1), sudo -i, ou sudo su, et vérifiez l'umask avant de commencer la procédure d'upgrade. Ou alors attendez-vous à recevoir quelques plaintes de vos utilisateurs, et à devoir effectuer quelques chmod(1) !

aucun commentaire aucun rétrolien

mercredi 8 octobre 2008

DHCPD et PF

Par Thomas Martin le mercredi 8 octobre 2008, 10:30 - Tech

Le serveur dhcpd(8) d'OpenBSD dispose d'une fonctionnalitée permettant
d'alimenter des tables pf(4) lorsque certains évènements se produisent : bail
DHCP établi, adresse IP «abandonnée», changement d'adresse MAC.

Cela peut permettre par exemple de bloquer l'accès à un routeur à des machines
n'ayant pas obtenu leurs adresses IP par DHCP.

Lors d'une tentative de mettre ça en place il y a quelques mois je ne parvenais
pas du tout à le faire marcher : les tables n'étaient jamais remplies !
J'ai découvert il y a peu la réponse : cela ne fonctionne pas pour des machines
dont l'adresse IP est fixée à l'aide d'une directive fixed-address dans
dhcpd.conf. Et de plus le fichier dhcpd.leases n'est pas non plus alimenté
pour ces machines.

aucun commentaire aucun rétrolien

vendredi 27 juin 2008

Tips avec dhclient(8) sous OpenBSD

Par Thomas Martin le vendredi 27 juin 2008, 08:30 - Tech

La commande dhclient(8) dispose d'un fichier de configuration : dhclient.conf(5).

Celui-ci permet notamment de configurer la requête DHCP envoyée au serveur, par exemple la directive
send dhcp-requested-address 10.0.1.1 permet de demander cette adresse IP au serveur, qui nous
l'affectera si elle est disponible.

Autre possibilité intéressante, celle de spécifier un autre dhclient-script(8). Ce script est invoqué par dhclient
pour effectuer la configuration réseau de la machine après avoir interrogé le serveur DHCP. Il est alors
possible à des fins de débuggage de modifier la fonction add_new_address() afin d'afficher l'adresse IP qui
aurait été affecté, sans l'affecter rééllement.

aucun commentaire aucun rétrolien

vendredi 2 mai 2008

s/lynx/ftp/

Par Thomas Martin le vendredi 2 mai 2008, 13:00 - Tech

Debian a son wget, FreeBSD son fetch, et j'ai cru pendant longtemps que le seul moyen simple de récupérer un fichier via HTTP à partir d'un système de base OpenBSD était d'utiliser lynx.

Ce qui n'était pas très pratique car cela force de passer par un mode interactif (sauf option appropriée, mais j'avoue n'avoir jamais pris le temps de parcourir toute la page de man).

J'apprend aujourd'hui que l'outil ftp d'OpenBSD, comme son nom ne l'indique pas, gère aussi HTTP et HTTPS !

Exemple :

ftp http://openbsd.org/index.html

aucun commentaire aucun rétrolien