forum.opennet.ru - "ldap и несколько простейших операций" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ldap и несколько простейших операций"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ldap и несколько простейших операций"	+/–
Сообщение от skeletor (ok) on 29-Июн-10, 16:42
Начал изучать ldap. Возникли некоторые трудности на начальном этапе. В корне есть 2 подкаталога: book и people. Нужно сделать такое: 1) в конфиге ldap'a разрешить доступ только admin'y ldap'a, юзерам book_rw, book_ro, people_ro соответственно к каталогам book, people соответствующими правами: book_rw --> book (read/write access) book_ro --> book (read only access) people_rw --> people (write access) то есть пользователь book_rw/book_ro вообще не должен иметь доступ к подкаталогу people и наоборот. Остальным вообще запретить доступ к каталогу полностью. 2) как правильно создать юзера и назначить ему права на определённый каталог? 3) Если я правильно понял, то создав юзера в подкаталоге users, выше этого подкаталога доступ он не получит? Или нужно отдельно выставлять доступы? Пробовал через phpldapadmin, lam но захотелось именно через консольку. В любом случае, каким способом лучше всего это делать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ldap и несколько простейших операций, ALex_hha, 18:22 , 29-Июн-10, (1)

ldap и несколько простейших операций, skeletor, 18:25 , 29-Июн-10, (2)

ldap и несколько простейших операций, ALex_hha, 18:49 , 29-Июн-10, (3)

ldap и несколько простейших операций, skeletor, 11:55 , 02-Июл-10, (4)

ldap и несколько простейших операций, DogEater, 18:01 , 05-Июл-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "ldap и несколько простейших операций" +/–

Сообщение от ALex_hha (ok) on 29-Июн-10, 18:22

В самом slapd.conf идут примеры

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ldap и несколько простейших операций" +/–

Сообщение от skeletor (ok) on 29-Июн-10, 18:25

>В самом slapd.conf идут примеры
Там не совсем то, что нужно. Пока не могу понять логику.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ldap и несколько простейших операций" +/–

Сообщение от ALex_hha (ok) on 29-Июн-10, 18:49

>>В самом slapd.conf идут примеры
>
>Там не совсем то, что нужно. Пока не могу понять логику.
Как то так
access to dn.base="ou=book"
   by self write
   by dn.one="uid=book_rw,dc=example,dc=com" write
   by dn.one="uid=book_ro,dc=example,dc=com" read
   by anonymous none
   by * none

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ldap и несколько простейших операций" +/–

Сообщение от skeletor (ok) on 02-Июл-10, 11:55

>[оверквотинг удален]
>>Там не совсем то, что нужно. Пока не могу понять логику.
>
>Как то так
>
>access to dn.base="ou=book"
>   by self write
>   by dn.one="uid=book_rw,dc=example,dc=com" write
>   by dn.one="uid=book_ro,dc=example,dc=com" read
>   by anonymous none
>   by * none
Спасибо частично получилось. Не получается дать права на запись. Сейчас у меня настроено так:
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to attrs=userPassword
    by self read
    by anonymous auth
access to dn.subtree="ou=addressbook,dc=domain,dc=lin"
    by dn="cn=book_ro,ou=people,dc=domain,dc=lin" read
    by dn="cn=book_rw,ou=people,dc=domain,dc=lin" write
    by self write
    by * auth
access to *
    by dn="cn=admin,dc=domain,dc=lin" write
    by anonymous auth
    by users read
    by * none
Но пользователь book_rw не может писать в каталог ou=addressbook,dc=domain,dc=lin. В чём может быть ошибка?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ldap и несколько простейших операций" +/–

Сообщение от DogEater (ok) on 05-Июл-10, 18:01

Вот тебе рабочий пример:
access to attrs=userPassword
    by self write
    by group/groupOfUniqueNames/uniqueMember=  "cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write
    by anonymous auth
    by * none
access to dn.sub="ou=system,dc=addressbook,dc=lan"
    by * auth
access to dn.sub="ou=DSA,dc=addressbook,dc=lan"
    by group/groupOfUniqueNames/uniqueMember="cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write
    by group/groupOfUniqueNames/uniqueMember="cn=usrgroup,ou=DSA,dc=addressbook,dc=lan" read
    by anonymous auth
    by * none
access to dn.sub="ou=people,dc=addressbook,dc=lan"
    by anonymous auth
    by group/groupOfUniqueNames/uniqueMember="cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write
    by group/groupOfUniqueNames/uniqueMember="cn=usrgroup,ou=DSA,dc=addressbook,dc=lan" read
    by * none
access to *
    by * none

пользователи хранятся в ou=DSA и их можно редактировать членам группы cn=admgroup,ou=DSA
2 встроенных пользователя хранятся в ou=system и их можно редактировать только от root dn
доступ к ou=system - только авторизация
доступ на чтение - членам cn=usrgroup,ou=DSA
доступ на запись - членам cn=admgroup,ou=DSA
добавляя юзверей в группу - даём соответствующий доступ без редактирования slapd.conf
сравнивай, разбирайся.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ldap и несколько простейших операций"	+/–
Сообщение от ALex_hha (ok) on 29-Июн-10, 18:22
В самом slapd.conf идут примеры
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "ldap и несколько простейших операций"	+/–
	Сообщение от skeletor (ok) on 29-Июн-10, 18:25
	>В самом slapd.conf идут примеры Там не совсем то, что нужно. Пока не могу понять логику.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "ldap и несколько простейших операций"	+/–
	Сообщение от ALex_hha (ok) on 29-Июн-10, 18:49
	>>В самом slapd.conf идут примеры > >Там не совсем то, что нужно. Пока не могу понять логику. Как то так access to dn.base="ou=book" by self write by dn.one="uid=book_rw,dc=example,dc=com" write by dn.one="uid=book_ro,dc=example,dc=com" read by anonymous none by * none
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "ldap и несколько простейших операций"	+/–
	Сообщение от skeletor (ok) on 02-Июл-10, 11:55
	>[оверквотинг удален] >>Там не совсем то, что нужно. Пока не могу понять логику. > >Как то так > >access to dn.base="ou=book" > by self write > by dn.one="uid=book_rw,dc=example,dc=com" write > by dn.one="uid=book_ro,dc=example,dc=com" read > by anonymous none > by * none Спасибо частично получилось. Не получается дать права на запись. Сейчас у меня настроено так: access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword by self read by anonymous auth access to dn.subtree="ou=addressbook,dc=domain,dc=lin" by dn="cn=book_ro,ou=people,dc=domain,dc=lin" read by dn="cn=book_rw,ou=people,dc=domain,dc=lin" write by self write by * auth access to * by dn="cn=admin,dc=domain,dc=lin" write by anonymous auth by users read by * none Но пользователь book_rw не может писать в каталог ou=addressbook,dc=domain,dc=lin. В чём может быть ошибка?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "ldap и несколько простейших операций"	+/–
	Сообщение от DogEater (ok) on 05-Июл-10, 18:01
	Вот тебе рабочий пример: access to attrs=userPassword by self write by group/groupOfUniqueNames/uniqueMember= "cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write by anonymous auth by * none access to dn.sub="ou=system,dc=addressbook,dc=lan" by * auth access to dn.sub="ou=DSA,dc=addressbook,dc=lan" by group/groupOfUniqueNames/uniqueMember="cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write by group/groupOfUniqueNames/uniqueMember="cn=usrgroup,ou=DSA,dc=addressbook,dc=lan" read by anonymous auth by * none access to dn.sub="ou=people,dc=addressbook,dc=lan" by anonymous auth by group/groupOfUniqueNames/uniqueMember="cn=admgroup,ou=DSA,dc=addressbook,dc=lan" write by group/groupOfUniqueNames/uniqueMember="cn=usrgroup,ou=DSA,dc=addressbook,dc=lan" read by * none access to * by * none пользователи хранятся в ou=DSA и их можно редактировать членам группы cn=admgroup,ou=DSA 2 встроенных пользователя хранятся в ou=system и их можно редактировать только от root dn доступ к ou=system - только авторизация доступ на чтение - членам cn=usrgroup,ou=DSA доступ на запись - членам cn=admgroup,ou=DSA добавляя юзверей в группу - даём соответствующий доступ без редактирования slapd.conf сравнивай, разбирайся.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору