Hallo NG,

ist es möglich bei den ACLs bei openldap zweimal ein write Recht zu vergeben?
Alle Beispiele, die ich gefunden hab, sind in folgender Form



acces to attrs=xxx
by yyy read
by xxx write
by * none


Kann ich nun 2x das write Recht verteilen?


acces to attrs=xxx
by yyy read
by xxx write
by zzz write
by * none

Ja *10zeichen*

@TheDarkRose
Hast du das produktiv im Einsatz oder einen Link?

Produktiv, jap. Beispiel um auf das Passwortattribut nur den User selbst und den Admin zugriff zu gestatten:

{0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=example,dc=com" write by * none

Ja, hast recht, fkt problemlos :)

Wollte mir nur nicht den eigenen Zugriff, beim Hinzufügen eines Kerberos-Admin-Users, versperren. Deshalb die wiederholte Nachfrage.
Aber folgendes fkt einwandfrei:



to * by dn.base="cn=admin,dc=example,dc=org" write
by dn.exact="cn=kadmin-service,cn=krbcontainer,dc=example,dc=org" write

Das ist aber nicht die ganze Regel, oder?

Nein und nachdem ich mir meine Regeln mal GENAU angeschaut habe, ist mir aufgefallen,
dass ich selbst schon 2x write benutzt hab. :(


olcAccess: {0}to attrs=userPassword,shadowLastChange,sambaNTPasswor d,sambaLMPassword by dn.base="cn=admin,dc=example,dc=org" write
by dn.base="cn=replicator,dc=example,dc=org" read
by anonymous auth
by self write
by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to dn.subtree="cn=krbcontainer,dc=example,dc=org" by dn.exact="cn=kdc-service,cn=krbcontainer,dc=example,dc=org" read
by dn.exact="cn=kadmin-service,cn=krbcontainer,dc=example,dc=org" write
by * none
olcAccess: {3}to attrs=krbPrincipalName,krbPrincipalKey,krbLastPwdC hange,krbExtraData by dn.exact="cn=kdc-service,cn=krbcontainer,dc=example,dc=org" read
by dn.exact="cn=kadmin-service,cn=krbcontainer,dc=example,dc=org" write
by self read by * auth
olcAccess: {4}to * by dn.base="cn=admin,dc=example,dc=org" write
by dn.exact="cn=kadmin-service,cn=krbcontainer,dc=example,dc=org" write
by * read


Aber deine Frage bezieht sich wahrscheinlich auf die erste Regel. Wenn die spezielle Regel net wäre,
könnte jeder nach Regel 4 die Passwörter einsehen.
Oder warum fragst du?

Deswegen hab ich gefragt jap ^^

Dein Regelwerk sieht sehr sauber aus, schön.

Danke, hatte schon Sorge, dass ich was übersehen habe :D



olcAccess: {1}to dn.base="" by * read


Vielleicht könnte man noch etwas restriktiver sein, aber die Information können wohl kaum für sicherheitskritische Dinge missbraucht werden, sondern man bekommt eher noch Probleme, oder?

in der rootDSE (dn.base="") stehen u.A. Information, welche erweiterten Operationen der Server unterstützt. Sollte man IMHO so lassen. Missbrauchen kann man diese eher weniger.

OK, Danke :)