PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP und Autorisation



malburg
18.06.01, 13:35
tach

ich habe da mal ne frage zu ldap.

und zwar habe ich folgenden baum

dc=test.de
|
+ cn=Manager
+ o=Adressbuch
+ cn=AManager


so, ich möchte jetzt das der AManager objecte im Adressbuch erstellen darf.

also wie sollte jetzt der eintrag in die slapd.con aussehen.

zur zeit ist er folgendermaßen

defaultaccess none

access to dn="o=adressbuch, dc=test.de"
by dn="cnAmanager, o=Adressbuch, dc=test.de" write
by * none

und das geht nicht.

wenn ich jetzt z.b. folgende test.ldif datei

dn: ou=Brandenburg, o=Adressbuch, dc=test.de
objectclass: organizationalunit
ou: Brandenburg
description: "Personen in Brb"

mit

ldapadd -x -D "cn=AManager, o=Adressbuch, dc=test.de" -W -f test.ldif

hinzufügen möchte, gebe ich das passwd von AManager (welches ich bei userPassword vorher definiert habe) ein und dann kommt immer ldap_bind: Insufficient access

????

Meine frage wie muss ich die access regel definieren, damit der AManager write zugriff auf o=Adressbuch hat ???

thx m. alburg

--------------------------------
new Projects are under http://linuxali.dyndns.org

jkaiser
03.07.01, 11:11
Habe wohl das gleiche Problem. Ich möchte von Netscape aus die Einträge im LDAP-Adressverzeichnis pflegen! Funzt auch nicht so ohne weiteres (alle Eingabefelder disabled). Bisher habe ich es auf die Möglichkeiten von Netscape geschoben! Anlegen neuer Einträge funktioniert nämlich auch nicht! Und als ich mir gerade nochmals im LDAP User-Guide den Abschnitt 5.3 "Access Control" nochmal angesehen habe, kam mir eine Idee:
Mit den access-Regeln in slapd.conf vergibt man Zugriffsrechte auf Attribute von bestehenden Einträgen. Neue Einträge Anlegen darf man wohl noch lange nicht!
Abschnitt 7.0 "Creating a database over LDAP" läßt diesen Schluss zu:

"You need to configure slapd so that you can connect to it as a directory user with permission to add entries."
Wie das geht habe ich noch nicht herausgefunden!

"You can configure the directory to support a special super-user or root user just for this purpose.
This is done through the following two options in the database definition:

rootdn <dn>
rootpw <passwd>

For example:

rootdn "cn=Manager,dc=example,dc=com"
rootpw secret

These options specify a DN and password that can be used to authenticate as the super-user entry of the database (i.e., the entry allowed to do anything). The DN and password specified here will always
work, regardless of whether the entry named actually exists or has the password given. This solves the chicken-and-egg problem of how to authenticate and add entries before any entries yet exist. "

Also: Weiter Doku wälzen!

Gruß, Jens