Предоставление доступа к атрибуту authzTo

Я пытаюсь предоставить определенным учетным записям доступ к своим authzTo атрибут для разрешения прокси авторизации.

Я попытался добавить этот ldif:

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcAccess
olcAccess: {1}to authzTo by dn.children="ou=Special Accounts,dc=example,dc=com" auth
-

используя команду ldapadd -f perm.ldif -D "cn=admin,cn=config" -W

но получил эту ошибку:

modifying entry "olcDatabase={-1}frontend,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
    additional info: <olcAccess> handler exited with 1

использование подробного вывода и повышение уровня отладки не дали мне больше подсказок. Кто-нибудь может увидеть, что я делаю не так?

Источник

1 ответ

Решение

Понял, что я делал глупо после работы над некоторыми другими разрешениями. Так должно быть attrs=authzTo, не просто authzTo само собой. И то, что я действительно хотел, было

to dn.children="ou=Special Accounts,dc=example,dc=com" attrs=authzTo by self auth
Источник

Я понимаю, что опоздал на этот вопрос на 8 лет, но думаю, что следует отметить, что плохая идея разрешить доступ на запись к собственному атрибуту authzTo.

Исходные правила чрезвычайно сильны. Если обычные пользователи имеют доступ к записи атрибута authzTo в своих записях, они могут написать правила, которые позволят им авторизоваться, как и все остальные. Таким образом, при использовании исходных правил атрибут authzTo должен быть защищен списком ACL, который позволяет только привилегированным пользователям устанавливать его значения.

(цитата из https://www.linuxtopia.org/online_books/network_administration_guides/ldap_administration/sasl_SASL_Proxy_Authorization.html)

Источник
Другие вопросы по тегам