我试图尽可能自动地写入组的自动化访问控制,就像我希望LDAP能够根据其他属性来确定谁能够写入一样。
我已经能够成功地做到这一点,如果我只需要授予一个或几个人的访问权限,指定他们的DN作为属性的值,然后使用这个ACL:
添加:olcAccess olcAccess:{2}到dn.sub =“ou = groups,dc = example,dc = com”by dnattr =“owner”
这真的很好 – 我只是将owner属性添加到一个对象,指定所有者的DN,然后他们可以写入对象。
但是,对于更大规模的权限,我需要能够使用组的成员资格。 现在我读了http://www.openldap.org/faq/data/cache/52.html ,看到你可以指定:按组访问// =但是,这将需要我明确设置的DN该组在访问控制本身。
我想要/需要能够做的是让LDAP读取具有权限的组的DN,与dnattr所做的相同。 我以为我已经阅读了关于这是可能的一些东西,但slapd.access说,“语句集=尚未logging。 所以我不清楚这是否是最合适的方法。
有人可以请告知如何可以完成?
谢谢。
菲利普
这是对此的答案。
该组有一个名为所有者的属性。 如果组成员身份使用称为uniqueMember的属性,那么该属性可以是个人的DN,也可以是组的个人的DN。
访问规则是:
access to dn.sub="ou=groups,dc=example,dc=com" by dnattr="owner" write by set="this/owner/uniqueMember & user" write by * none