URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91452
[ Назад ]

Исходное сообщение
"LDAP как назначить права администратору"
Отправлено slava007 , 23-Апр-11 22:44

Здравствуйте, подскажите пожалуйста, как назначить права дополнительному администратору для редактирования/добавления записей в LDAP.
есть вот такие записи в slapd.conf:
access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword
        by dn="cn=admin,dc=mydomen,dc=ru" write
        by dn="cn=u_admin,ou=users,dc=mydomen,dc=ru" write
        by anonymous auth
        by self write
        by * none
access to dn="ou=users,dc=mydomen,dc=ru"
        by dn="cn=u_admin,ou=users,dc=mydomen,dc=ru" write
        by * read
access to *
        by dn="cn=admin,dc=mydomen,dc=ru" write
        by users read
нужно, чтобы второй админ(u_admin) мог править записи в ou=users и все что в ней.
и еще строка типа access to dn=".*,ou=users и т.д. как я понимаю определяет вложенные обьекты в ou=users , но она у меня не работает,
~#slapd -d 16383 пишет
ldap_err2string
<= ldap_bv2dn(.*,ou=users,dc=mydomen,dc=ru)=-4 Decoding error
еще прочитал что есть такой тип атрибута modifiersName, может быть знает кто нибудь как его изменить, изначально у меня он cn=admin,dc=mydomen,dc=ru
Подскажите пожалуйста, в какую сторону копать, ссылки там всякие и все такое...
PS: Ubuntu 8.04

Содержание

LDAP как назначить права администратору,Aquarius, 06:20 , 24-Апр-11
- LDAP как назначить права администратору,slava007, 23:14 , 24-Апр-11
  - LDAP как назначить права администратору,JohnProfic, 00:16 , 25-Апр-11
    - LDAP как назначить права администратору,slava007, 03:18 , 30-Апр-11
  - LDAP как назначить права администратору,Aquarius, 18:36 , 25-Апр-11
    - LDAP как назначить права администратору,slava007, 03:31 , 30-Апр-11

Сообщения в этом обсуждении

"LDAP как назначить права администратору"
Отправлено Aquarius , 24-Апр-11 06:20

>[оверквотинг удален]
>         by * none
> access to dn="ou=users,dc=mydomen,dc=ru"
>         by dn="cn=u_admin,ou=users,dc=mydomen,dc=ru" write
>         by * read
> access to *
>         by dn="cn=admin,dc=mydomen,dc=ru" write
>         by users read
> нужно, чтобы второй админ(u_admin) мог править записи в ou=users и все что
> в ней.
> и еще строка типа access to dn=".*,ou=users и т.д. как я понимаю
откуда взялось это понимание?
> определяет вложенные обьекты в ou=users , но она у меня не
> работает,
> ~#slapd -d 16383 пишет
> ldap_err2string
> <= ldap_bv2dn(.*,ou=users,dc=mydomen,dc=ru)=-4 Decoding error
> еще прочитал что есть такой тип атрибута modifiersName, может быть знает кто
> нибудь как его изменить, изначально у меня он cn=admin,dc=mydomen,dc=ru
зачем его менять?
> Подскажите пожалуйста, в какую сторону копать, ссылки там всякие и все такое...
> PS: Ubuntu 8.04

"LDAP как назначить права администратору"
Отправлено slava007 , 24-Апр-11 23:14

>> и еще строка типа access to dn=".*,ou=users и т.д. как я понимаю
> откуда взялось это понимание?
# Set control on the userPassword attribute.
access to dn=".*,ou=eng,dc=plainjoe,dc=org"
  attrs=userPassword
  by self write
  by * auth
  by dn=".*,ou=admins,ou=eng,dc=plainjoe,dc=org" write
(c) O'reilly LDAP System Administration
>> еще прочитал что есть такой тип атрибута modifiersName, может быть знает кто
>> нибудь как его изменить, изначально у меня он cn=admin,dc=mydomen,dc=ru
> зачем его менять?
Для того, что-бы мой cn=u_admin мог редактировать записи в ou=users  (cм. первый пост)
там есть типа атрибута:
creatorsName и modifiersName. как я понимаю 1й это кто создал, 2й кто правит запись.
видимо надо дабавить в objectClass какоето значение, чтобы были доступны эти два атрибута.

"LDAP как назначить права администратору"
Отправлено JohnProfic , 25-Апр-11 00:16

> Для того, что-бы мой cn=u_admin мог редактировать записи в ou=users (cм.
> первый пост)
> там есть типа атрибута:
> creatorsName и modifiersName. как я понимаю 1й это кто создал, 2й кто
> правит запись.
2й кто правиЛ запись.
> видимо надо дабавить в objectClass какоето значение, чтобы были доступны эти два
> атрибута.
Ничего не нужно добавлять в objectClass. Нужно всего-лишь внимательно прочитать документацию идущую в комплекте к используемому ПО. Ваша книга 2003 года уже успела устареть в плане синтаксиса конфигурации доступа.
man slapd.access
access to dn.sub="ou=users,…" by dn="cn=new-admin,…" write

"LDAP как назначить права администратору"
Отправлено slava007 , 30-Апр-11 03:18

> man slapd.access
> access to dn.sub="ou=users,…" by dn="cn=new-admin,…" write
>
Спасибо Вам большое, разобрался в теме. на всамом деле man всему голова :)

"LDAP как назначить права администратору"
Отправлено Aquarius , 25-Апр-11 18:36

>[оверквотинг удален]
>>> еще прочитал что есть такой тип атрибута modifiersName, может быть знает кто
>>> нибудь как его изменить, изначально у меня он cn=admin,dc=mydomen,dc=ru
>> зачем его менять?
> Для того, что-бы мой cn=u_admin мог редактировать записи в ou=users (cм.
> первый пост)
> там есть типа атрибута:
> creatorsName и modifiersName. как я понимаю 1й это кто создал, 2й кто
> правит запись.
> видимо надо дабавить в objectClass какоето значение, чтобы были доступны эти два
> атрибута.
они доступны, просто это скрытые атрибуты; кстати говоря, они, на сколько я знаю, ни на что не влияют и представляют интерес разве что для аудита правок
P.S. не возьмусь утверждать, что я ничего ни с чем не перепутал

"LDAP как назначить права администратору"
Отправлено slava007 , 30-Апр-11 03:31

> они доступны, просто это скрытые атрибуты; кстати говоря, они, на сколько я
> знаю, ни на что не влияют и представляют интерес разве что
> для аудита правок
> P.S. не возьмусь утверждать, что я ничего ни с чем не перепутал
ага, я точно также въехал в тему. Спасибо за участие.