Как разрешить пользователям на сервере openLDAP создавать, обновлять и изменять пользователей в определенном организационном подразделении?

Question

Как разрешить пользователям на сервере openLDAP создавать, обновлять и изменять пользователей в определенном организационном подразделении?

Я застрял, пытаясь разрешить пользователям openLDAP, которые находятся в определенной группе (Пример: cn = Admins, dc = mydomain, dc = com ), до создавать, изменять, обновлять и удалять пользователей, которые находятся в другом организационном подразделении (Пример: ou = Users, dc = mydomain, dc = com ) уже около двух недель. Я сделал все, что в моих силах, чтобы разобраться в этом. Например, поиск через Google, поиск через сбой сервера и, наконец, поиск через stackoverflow , но безрезультатно. Я новичок в openLDAP, и, вероятно, это ошибка и / или что-то, что я упускаю из виду с атрибутом olcAccess в dn: olcDatabase = {1} hdb, cn = config .

Admin Group.ldif

dn: cn=Admins,dc=ldapserver,dc=com
changetype: add
objectClass: groupOfNames
objectClass: top
member: cn=admin,ou=Users,dc=ldapserver,dc=com
cn: Admins

Users.ldif

dn: ou=Users,dc=ldapserver,dc=com
changetype: add
objectClass: organizationalUnit
objectClass: top
ou: Users

OlcAccess по умолчанию

Примечание: Это списки ACL по умолчанию, которые поставляются с новой установкой сервера openLDAP.

dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none
olcAccess: {1}to attrs=shadowLastChange by self write by * read
olcAccess: {2}to * by * read

Обратите внимание на 1: Поскольку я новичок в openLDAP, я не устанавливал никаких других ACL , кроме тех, которые появляются по умолчанию при первой установке сервера openLDAP.

Обратите внимание на 2: Alex

1

linux ubuntu ldap openldap access-control-list

задан Community 23 May 2017 в 14:33
Ссылка

1 ответ

ACL в openldap всегда оцениваются сверху вниз в списке строк с номерами {0}, {1}, .. Как только условие выполнено, оценка немедленно остановлена (предполагается, что прерывание не используется).

В списках ACL по умолчанию, установленных Ubuntu и соответствующих требованиям, есть строка:

olcAccess: {2} to * by * read

to * by *: все встретил, добавление строк после не имеет никакого эффекта.

Решение, обсуждавшееся на this ссылка и выше должна решить вашу проблему, я предлагаю вам попробовать этот список ACL:

olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none olcAccess: {1}to attrs=shadowLastChange by self write by * read olcAccess: {2}to dn.subtree="ou=Users,dc=ldapserver,dc=com" by group/groupOfUniqueNames/uniqueMember="cn=Admins,dc=ldapserver,dc=com" write

и изменить objectClass группы администраторов на groupOfUniqueNames.

1

ответ дан 3 December 2019 в 23:44
Ссылка

Теги

linux ubuntu ldap openldap access-control-list

Похожие вопросы

993
Как я могу отсортировать du-h произведенный размером - 29 October 2016 04:01

586
scp может скопировать каталоги рекурсивно? - 10 July 2018 18:19

435
Каково различие между двойными и единственными квадратными скобками в ударе? - 10 August 2009 00:11

423
Что точно делает цвета в htop средних строках состояния? - 8 September 2014 22:03

364
Кто-либо еще испытывающий высокие показатели сервера Linux разрушает во время прыжка второй день? - 4 July 2012 00:09

316
Как выполнить сервер на порте 80 как обычный пользователь на Linux? - 14 August 2019 17:35

313
Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41

261
Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14

261
Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37

252
Я могу автоматически добавить новый хост known_hosts? - 2 September 2015 00:40

235
Показ общего прогресса rsync: действительно ли это возможно? - 5 January 2011 17:26

233
Копирование большого дерева каталогов локально? CP или rsync? - 30 October 2014 16:15

232
Переменные среды рабочего процесса на Unix? - 22 February 2016 22:22

228
Почему мой crontab не работает, и как я могу диагностировать его? - 17 March 2017 09:55

225
Перемещение уже рабочего процесса для Экранирования - 19 August 2009 04:48

score 1 · Answer 1 · 3 December 2019 в 23:44

ACL в openldap всегда оцениваются сверху вниз в списке строк с номерами {0}, {1}, .. Как только условие выполнено, оценка немедленно остановлена (предполагается, что прерывание не используется).

В списках ACL по умолчанию, установленных Ubuntu и соответствующих требованиям, есть строка:

olcAccess: {2} to * by * read

to * by *: все встретил, добавление строк после не имеет никакого эффекта.

Решение, обсуждавшееся на this ссылка и выше должна решить вашу проблему, я предлагаю вам попробовать этот список ACL:

olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none
olcAccess: {1}to attrs=shadowLastChange by self write by * read
olcAccess: {2}to dn.subtree="ou=Users,dc=ldapserver,dc=com"
             by group/groupOfUniqueNames/uniqueMember="cn=Admins,dc=ldapserver,dc=com" write

и изменить objectClass группы администраторов на groupOfUniqueNames.