Вопросы Теги

Как позволить группе изменять пароли пользователя?

Вопрос, сделайте они хотят, чтобы Вы достигли их. Ваш американский IP-адрес мог бы помочь Вам достигнуть людей в США, но нет никаких гарантий и вероятно никаких адресов, которые не заблокированы кем-то где-нибудь.

Некоторые люди являются сумасшедшими и блок примерно все. Некоторые люди действительно блокируются географически, но с их точки зрения это может казаться разумным, если они уверены, что не получат электронное письмо от определенных местоположений (у меня есть свои сомнения относительно этого, но... их почтового сервера их правила).

Вещь волноваться о с IP-адресами, если, послали ли они ранее спам. Возможно выйти из "управляемых" РУБЛЕЙ DNS (для очень маленьких или сумасшедших значений "возможных" для некоторых более экстремальных списков), но если предыдущий пользователь того адреса, массово разосланного от него и набора системных администраторов, бросил адрес в их локальный маршрутизатор, отклоняют таблицу затем удача с той, я боюсь.

3
задан 12 October 2009 в 11:03
3 ответа

Заключение в кавычки администраторского руководства OpenLDAP:

Порядок оценки директив доступа делает их размещение в конфигурационном файле важным. Если одна директива доступа более конкретна, чем другой с точки зрения записей, она выбирает, это должно казаться первым в файле конфигурации. Точно так же, если один селектор более конкретен, чем другой, он должен быть на первом месте в директиве доступа.

Для вырезания, короче говоря, пробуют следующее:

access to attrs=userPassword
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by self write
    by anonymous auth
    by * none

# Allow everybody adding and changing Contacts
access to dn.subtree="ou=Contacts,dc=my-company,dc=de"
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write 
    by * read

access to *
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by self write
    by * read

BTW, Вы действительно хотите предоставить весь пользовательский доступ ко всем атрибутам их собственного объекта ('доступ к *... сам запись')? Поскольку Вы ограничиваете доступ для записи к атрибуту userPassword только в первом ACL, я сказал бы, что это не то, что Вы хотели.

1
ответ дан 3 December 2019 в 07:45

Что происходит, если Вы делаете это?

access to dn.subtree"[cn=users,ou=Group,dc=my-company,dc=de]"
by self write
by dn.base="cn=admin,dc=my-company,dc=de" write
by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
by * read
0
ответ дан 3 December 2019 в 07:45
  • 1
    Единственная разница использует dn.subtree вместо *, правильно? Почему это должно работать лучше? I' ll дают ему попытку, когда I' m назад в этом проекте, что могло взять в некоторые дни. –  Tim Büthe 13 October 2009 в 13:30

IIRC slapd использует первое правило соответствия. Так как первый блок соответствует userPassword, но не позволяет системным администраторам изменять, им не позволяют изменить.

0
ответ дан 3 December 2019 в 07:45

Теги

Похожие вопросы