我们的openldap有多个组:useradmins,agt,ib,iss,itt
“useradmins”组总是有权编辑(写入)所有组。 我最近执行了一个简单的“yum更新”,并更新了openldap。 从那时起(大约3天前)pipe理员不能写(添加或更改用户)。 错误是:
访问不足 – 不能写入父项
…或者,根据我对slapd.conf文件的尝试/错误,有时我简单地得到:
访问不足
我已经编辑了我的slapd.conf文件(约500次),在阅读在线文章,文档等时尝试不同的设置。我目前的slapd.conf文件如下所示:
... database bdb suffix "dc=am5up,dc=com" directory /var/lib/ldap index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub index entryCSN eq index entryUUID eq access to * by self write by dn="cn=admin,dc=am5up,dc=com" write by group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write by * read rootdn "cn=admin,dc=am5up,dc=com" rootpw <hashed pwd> ... 我的假设是这条线是错的:
group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
…但我已经尝试了几十个变化没有成功。
任何人都可以提出build议吗?
非常感激。
所以,根据评论小组如下:
dn:cn = useradmins,ou = group,dc = am5up,dc = com
cn:useradmins
gidnumber:10001
成员:mscot
objectclass:posixGroup
成员:尼曼
成员:taden
memberuid:japid
但根据acl:
by group / groupOfUniqueNames / uniqueMember =“cn = useradmins,ou = groups,dc = am5up,dc = com”write
该组应具有objectClass groupOfUniqueNames和uniqueMember(您想授予访问权限的任何人)。 但是上面显示的这个小组没有任何东西,所以你现在可以做两件事:
要么
access to * whatever you want by set="user/uid & [cn=useradmins]/memberuid" write by * none
对于“ user / uid ”,如果memberuids是成员的实际uid,则将适用,否则将使用您正在使用的任何属性。