OpenLDAP ограничивает анонимный доступ только для просмотра атрибутов записей без возможности сканирования всей базы данных
У нас есть сервер OpenLDAP (2.4.45), который содержит всех наших пользователей, группы, правила sudo и т.д.
Мне нужно подключить новое приложение к этому серверу, результат Нет такого объекта (32)
Как правильно достичь вышеуказанного?
2
задан Alexey Kamenskiy
12 September 2017 в 13:18
Ссылка
1 ответ
На самом деле ответ был довольно прост (указывается на это в IRC):
ACL должен быть таким же:
olcAccess: {0}to dn.children="ou=Groups,dc=example,dc=com"
by anonymous stop
by * read break
olcAccess: {1}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by anonymous none stop
by * read
Обратите внимание на строку stop в {0}, в оригинальном ACL он сначала предоставляет доступ на чтение, но затем удаляет его из-за break, в новой версии анонимный явно разрешил доступ на чтение, а затем OpenLDAP сказал прекратить обработку ACL для этого запроса.
1