LDAPユーザーが名前を持つブランチに書き込むことを許可する方法を探しています。例えば、私は各ユーザA、B、Cがcn = A、ou = foo、cn = B、ou = foo、cn = C、ou = foo ...に書き込めるようにします。 方法はありますかそれを明示的に書くことはありません。そのような各ユーザーのLDAP固有のACL
ない:多分正規表現で
access: to subtree="cn=A,ou=foo"
by dn.exact="uid=A,ou=people" write
access: to subtree="cn=B,ou=foo"
by dn.exact="uid=B,ou=people" write
...
?
そのような何かが動作します:
を3210olcAccess: to dn.regex=".+,cn=([^,]+),ou=foo$"
by dn.exact,expand="uid=$1,ou=people" write
by users read
by * none
各ユーザーは、名前がou=fooのブランチに書き込みアクセスできます。
すべてのユーザーにこれを指定する必要はありません。あなただけが必要です
access: to * by self write
私はそれを働かせました。
Directoryスキーマ:
-dc=myorg,dc=com -ou=nonprod -ou=hostdefinitions -ou=people -cn=user1 -cn=user2 -ou=prod -ou=hostdefinitions
ユーザー:
cn=user2
gidNumber=235
homeDirectory=/home/user2
uid=user2
uidNumber=235
userPassword={SSHA hashed password}
cn=user1,ou=People,dc=myorg,dc=com
objectClass=account,extensibleObject,posixAccount,shadowAccount,top
cn=user1
gidNumber=234
homeDirectory=/home/user1
uid=user1
uidNumber=234
userPassword={SSHA hashed password}
cn=user1,ou=People,dc=myorg,dc=com
objectClass=account,extensibleObject,posixAccount,shadowAccount,top
のACL:
access to dn.subtree="ou=nonprod,dc=myorg,dc=com"
by dn.exact="cn=user1,ou=People,dc=myorg,dc=com" manage
by dn.exact="cn=user2,ou=People,dc=myorg,dc=com" none
access to dn.subtree="ou=prod,dc=myorg,dc=com"
by dn.exact="cn=user1,ou=People,dc=myorg,dc=com" none
by dn.exact="cn=user2,ou=People,dc=myorg,dc=com" manage
access to dn.base="" by * read
access to dn.base="cn=subschema" by * read
access to *
by self write
by anonymous auth
それは私が欲しいものではない、あなたはまだそれぞれの新しいユーザーの行を追加する必要があります。しかし、私が望むものは不可能だと思う... – DBLouis
多分私は十分ではありませんでしたが、私の例では、ユーザーAがcn = B、ou = fooで書くことはできません。 – DBLouis
これは正確にこれがしていることです。誰もが自分のエントリーに書き込むことができ、それによって他のエントリーを読むことさえ許されません。 – EJP
しかし、事実は、彼らのエントリではありません。私はそれがユーザーのエントリで動作することを知っています。 – DBLouis