URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92351
[ Назад ]

Исходное сообщение
"ldap настройка прав доступа"
Отправлено fovcartli.com.ua , 29-Сен-11 11:13

Ребята такая трабла (трабла потому что не знаю как правильно сделать).
Есть дерево в ldap дереве, и такие ветки по дономенам как:
dc=domen1,dc=ldap,dc=localdomain
dc=domen2,dc=ldap,dc=localdomain
dc=domen3,dc=ldap,dc=localdomain
И заведено 3 пользователя для чтения паролей юзеров из каждого домена отдельно:
cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen1,dc=ldap,dc=localdomain
cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen2,dc=ldap,dc=localdomain
cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen3,dc=ldap,dc=localdomain
Так вот когда прописываю в кофиге права в таком виде:
access to dn="dc=domen1,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen2,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen3,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain" read
То эти юзери читают про юзеров все кроме паролей, как мне правильно прописать для них права доступа.
Вот полная таблица доступа:
access to attrs=userPassword,shadowLastChange
    by self write
    by anonymous auth
    by dn="cn=admin,dc=ldap,dc=localdomain" write
    by * none
access to dn.base=""
    by * read
access to *
    by self write
    by dn="cn=admin,dc=ldap,dc=localdomain" write
    by * read
access to dn="dc=domen1,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen2,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen3,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain" read
Зарание благодарен.

Содержание

ldap настройка прав доступа,JohnProfic, 15:32 , 29-Сен-11

Сообщения в этом обсуждении

"ldap настройка прав доступа"
Отправлено JohnProfic , 29-Сен-11 15:32

Если я правильно понял проблему, то нужно перенести три последних правила в начало, т.к. первое сработавшее правило и задает доступ. В данном случае получается «access to attrs=userPassword by * none».
Да и «by dn="cn=admin,dc=ldap,dc=localdomain" write» можно из правил убрать, если этот самый cn=admin,dc=ldap,dc=localdomain является rootdn, т.к. для него (rootdn) проверки правил не выполняются.