<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 10, 2015 at 9:51 AM, Stanislav Láznička <span dir="ltr"><<a href="mailto:slaz@seznam.cz" target="_blank">slaz@seznam.cz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On 03/10/2015 04:06 PM, Jakub Hrozek wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On Tue, Mar 10, 2015 at 03:47:10PM +0100, Martin Kosek wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
This is where importing iCal is helpful because it allows you to<br>
outsource the task of creating such event to something else.<br>
<br>
Parsing event information would produce a rule definition we would store<br>
and SSSD would apply as HBAC rule. However, we don't need ourselves to<br>
provide a complex UI to define such rules. Instead, we can do a simple<br>
UI to create rules plus a UI to import rules defined in iCal by some<br>
other software. The rest is visualizing HBAC time/date rules which is<br>
separate from dealing with complexity of creating or importing rules.<br>
<br>
Additionally, for iCal-based imports we can utilize participants<br>
information from the iCal to automatically set up members of the rule<br>
(based on mail attribute).<br>
<br>
</blockquote>
Ah, makes sense to me.<br>
<br>
With all the possibilities that iCal format offers, we would more or less end<br>
up storing iCal in HBAC rules (or our own format of iCal). I am just concerned<br>
it would make a bit complex processing on SSSD side, especially in the security<br>
sensitive piece for authorization rules.<br>
<br>
We may need to use libraries for processing iCal rules, like libical<br>
(<a href="http://koji.fedoraproject.org/koji/buildinfo?buildID=606329)." target="_blank">http://koji.fedoraproject.<u></u>org/koji/buildinfo?buildID=<u></u>606329).</a>..<br>
</blockquote>
Is that what Alexander said, though? In his reply, I see:<br>
     "Parsing event information would produce a rule definition we would<br>
     store and SSSD would apply as HBAC rule".<br>
</blockquote></span>
This is what kind of worried me, too. If I understand it well, this means you would have iCal events such as holidays (these were mentioned before), and you would like to generate HBAC rules based on these events. Those rules would, however, be different for each country (if this is still about holidays) and might collide among user and host groups. Therefore, you would have lots and lots of rules in the end, wouldn't you?<br>
<br>
I wonder if anyone does that. From what I've seen in AD and 389 Directory Server, time-based rules are being stored in a rather simple manner. I don't mind a more complex solution but I think such exceptions might be little too much. But I might have not understood the idea very well.</blockquote><div><br></div><div>This is my understanding as well. If using AD as the example, there are two ways that timebased rules are configured:<br></div><div>     1. Permit logon hours during specified timeframe on specified day(s) of the week.<br></div><div>     2. Deny logon hours during specified timeframe on specified day(s) of the week.<br><br></div><div>There is nothing about holidays. I think that implementing holidays and special exemptions should be avoided.<br><br></div><div>Just my 2 cents.<br><br></div><div>Gabe<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class=""><div class="h5"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I don't think iCal dependency is something we want in SSSD, the<br>
rules should be converted from iCal to SSSD format in a layer atop<br>
libipa_hbac..<br>
<br>
</blockquote>
<br>
-- <br>
Manage your subscription for the Freeipa-devel mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-devel" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-devel</a><br>
Contribute to FreeIPA: <a href="http://www.freeipa.org/page/Contribute/Code" target="_blank">http://www.freeipa.org/page/<u></u>Contribute/Code</a><br>
</div></div></blockquote></div><br></div></div>