Как добавить пользователей с правами администратора в 389 LDAP, сервер каталогов fedora

Question

Как добавить пользователей с правами администратора в 389 LDAP, сервер каталогов fedora

Я хочу создать пару пользователей-администраторов, которые имеют право создавать / удалять пользователей в определенной группе / подразделении. Например,

User: uid=testadmin, ou=people, dc=my,dc=net

Должен иметь доступ для создания новых пользователей / удаления пользователей в

ou=People,dc=my,dc=net

Я пытался с ниже ACI, но не работал

(target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");)

Я могу добавить административных пользователей с консоли сервера каталогов, но эти пользовательские данные не хранятся в файлах ldif и хранятся только в двоичной базе данных в /var/lib/dirsrv/slap-ldap/db/. Единственная проблема заключается в том, что эти пользователи имеют полную мощность, и я не уверен, как ограничить их доступ.

4

ldap openldap 389-ds ldif

Источник

chandank 05 дек '12 в 20:15

2 ответа

Решение

Протестировано будет отлично работать:

(targetattr = "*") (target = "ldap:///ou=linux,dc=pramod,dc=com")(version 3.0;acl "pramod aci";
allow (write)(userdn = "ldap:///uid=pkumar,ou=linux,dc=pramod,dc=com")
;)

В соответствии с этим пользователь acl pkumar может изменять все атрибуты всех различающихся имен (dn), принадлежащих Linux подразделения организации (ou). Если вы хотите дать полные права, просто поменяйте (write) в (all), Если хочешь дать права на базу дн просто убери ou=linux от цели.

-1

Источник

Pramod Kumar 01 ноя '15 в 08:32

Другие вопросы по тегам ldap openldap 389-ds ldif

chandank 06 дек '12 в 01:35 2012-12-06 01:35 · Accepted Answer · 2012-12-06 01:35

Ну ответь очередь получиться очень простой и логичной. Чтобы обеспечить ACI для определенного OU. В этом случае пользователь sm имеет все права в каталоге ou = Support Group.

 (targetattr = "*") 
(target = "ldap:///ou=Support Group,dc=my,dc=net") 
(version 3.0;
acl "sm aci";
allow (all)
(userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net")
;)

target: указывает, где применять правило.

targetattr: Может использоваться для ограничения доступа к различным атрибутам записи. Например, вы, пользователь "sm", не имеете права менять пароль, что вы можете указать здесь.

allow (): указывает разрешение

последний userdn (правило привязки): указывает, кто имеет права. Таким образом, вы можете легко предоставлять доступ другим пользователям для управления своими учетными данными.