应该添加什么ACL以允许用户更改密码slapd.conf。 我们现在拥有默认ACL,只允许rootdn修改权限,同时允许所有人阅读,包括匿名。
尝试一下:
access to attrs=userPassword by self write by anonymous auth by users none access to * by * read (请注意,出于安全原因,您不希望每个人都能读取UserPassword属性 – 这将允许人们浏览您的影子/encryption的密码并轻松地运行一个破解程序。)
编辑以添加对以上access to attrs=userPassword ACL的请求解释
by self write
login的用户可以写(更改)自己的userPassword属性 – 这是什么让你改变你的密码。
by anonymous auth
匿名用户(匿名绑定到目录的用户 – 即没有指定DN和密码的用户)可以访问userPassword,仅用于身份validation(他们无权访问任何其他用途,如search或浏览)。
by users none
这拒绝login用户访问其他人的userPassword属性。 理论上这也可以是auth ,但通常(至less在我的环境中)login用户不需要authentication/绑定为另一个用户。