Hab da ein kleines problem in meiner slapd.conf mit den Zugriffsberechtigungen :

access to attrs=userPassword,sambalmPassword,sambantPassword
by self write
by * auth
access to * by * read

Auf welche Passwörter kann man den hier genau Zugreifen ?
Kann mir mal einer das Ding kurz erklären ?

Gruß

Peter

Das ist das Unix und die beiden Windows Passwörter. Es muss zudem lm und nt heißen, ohne samba :)

oafish

Hi!

Vorerst die slapd ACL sind auch für mich ein Mysterium ;)

Ein Tipp zum debuggen:

Nimm einen Ldapbrowser und richte verschiedene Profile ein (Ldap-Administrator, einen normalen Benutzer, einen anonymen Account, usw.)

Dann siehst Du beim Browsen, wer was lesen/schreiben darf.

In Deinem Fall hast Du anonymen Lesezugriff für jedermann auf alles, bis auf die ausgeschlossenen attrs.

Was funktioniert nicht?

Erklärung man slapd.access.

Manx

Also den Anonymen Leserecht auf die Passwörter zu gestatten würde ich nicht machen! Sowas lässt sich ohne weiteres leicht knacken... Mein Vorschlag:

access to attr=userPassword,lmPassword,ntPassword
by self write
by anonymous auth
by * none


oafish

> Also den Anonymen Leserecht auf die Passwörter zu gestatten würde ich nicht machen!

... hat er auch nicht die letzte Zeile "access to * by * read" ist eine neue ACL

Manx

Hmm...gibt da ja echt viele Gedankengänge.
Wür mich halt zuerst mal intressieren was mit
userPassword,sambalmPassword,sambantPassword
genau beschrieben wird....funktionieren tut's auf jeden Fall...

Gruß

Peter

Hmm...gibt da ja echt viele Gedankengänge.
Wür mich halt zuerst mal intressieren was mit
userPassword,sambalmPassword,sambantPassword
genau beschrieben wird....funktionieren tut's auf jeden Fall...

Gruß

Peter

Original geschrieben von pnuernbe
Hmm...gibt da ja echt viele Gedankengänge.
Wür mich halt zuerst mal intressieren was mit
userPassword,sambalmPassword,sambantPassword
genau beschrieben wird....funktionieren tut's auf jeden Fall...

Gruß

Peter

Mit access to wird beschrieben worauf der Zugriff stattfinden soll. In diesem Beispiel auf die Attribute Benutzerpasswort und die Samba Passwörter, die in einer Objektklasse von samba.schema zu finden sind. Des weiteren wird mit by self write angegeben, dass alle Benutzer Schreibzugriff auf die angegebenen Attribute haben. By * auth berechtigt alle Benutzer einen Authentifizierungsversuch zu unternehmen und mit access to * by * read wird festgelegt, dass alle Benutzer lesend auf das Verzeichnis zugreifen dürfen...

So weit so gut...habs mal so festgehalte...hoffe seid alle einverstanden ?
Gruß
Peter

Des weiteren wird mit by self write angegeben, dass alle Benutzer Schreibzugriff auf die angegebenen Attribute haben.

aber immer nur auf den context unter dem sie sich authentifiziert haben

greez