spacewan
19.11.14, 09:40
Hallo Leute,
ich stecke gerade etwas bei den ACLs in slapd.conf von openldap (2.4) fest.
Ein paar Tips für den Durchblick wären toll.
Im Moment sehen meine ACLs so aus:
access to *
by dn="cn=admin,dc=sub,dc=mydomain,dc=de" write
by * read
access to attrs=userPassword,shadowLastChange,sambaPwdLastSe t,sambaPwdMustChange,sambaPwdCanChange,shadowMax,s hadowExpire
by anonymous auth
by self write
by * none
access to attrs=sambaLmPassword,sambaNtPassword
by anonymous auth
by self write
by * none
#access to attrs=cn,displayName,gecos,gidNumber,mail,uid,uidN umber
# by anonymous auth
# by self write
# by * read
Mit dem auskommentierten Block hier drüber habe ich experimentiert und wollte damit folgendes erreichen:
Ohne Authentifizierung am LDAP Server dürfen nur die Einträge cn,displayName,gecos,gidNumber,mail,uid und uidNumber
gesucht und gelesen werden, alles andere nicht. Mit erfolgreicher Anmeldung alles. Natürlich habe ich beim einkommentieren
access to * angepasst und by * read entfernt, dann geht aber garnichts mehr :)
Was mache ich falsch?
Danke und Grüße
Marc
ich stecke gerade etwas bei den ACLs in slapd.conf von openldap (2.4) fest.
Ein paar Tips für den Durchblick wären toll.
Im Moment sehen meine ACLs so aus:
access to *
by dn="cn=admin,dc=sub,dc=mydomain,dc=de" write
by * read
access to attrs=userPassword,shadowLastChange,sambaPwdLastSe t,sambaPwdMustChange,sambaPwdCanChange,shadowMax,s hadowExpire
by anonymous auth
by self write
by * none
access to attrs=sambaLmPassword,sambaNtPassword
by anonymous auth
by self write
by * none
#access to attrs=cn,displayName,gecos,gidNumber,mail,uid,uidN umber
# by anonymous auth
# by self write
# by * read
Mit dem auskommentierten Block hier drüber habe ich experimentiert und wollte damit folgendes erreichen:
Ohne Authentifizierung am LDAP Server dürfen nur die Einträge cn,displayName,gecos,gidNumber,mail,uid und uidNumber
gesucht und gelesen werden, alles andere nicht. Mit erfolgreicher Anmeldung alles. Natürlich habe ich beim einkommentieren
access to * angepasst und by * read entfernt, dann geht aber garnichts mehr :)
Was mache ich falsch?
Danke und Grüße
Marc