forum.opennet.ru

Составление сообщения

Исходное сообщение

"ldap настройка прав доступа"
Отправлено daloman, 29-Сен-11 13:10

> Вот полная таблица доступа:
Думаю, что здесь это правило не разрешает чтение атрибутов, т.к. применяется первым. Пользователи kontroller1, kontroller2, kontroller3 подпадают под действие последнего фильтра и следующее правило уже не используется.

access to attrs=userPassword,shadowLastChange
    by self write
    by anonymous auth
    by dn="cn=admin,dc=ldap,dc=localdomain" write
    by * none
Ссылка на руководство администратора OpenLDAP 2.4: http://pro-ldap.ru/tr/admin24/access-control.html

8.4.10. Если что-то работает не так, как ожидалось
Рассмотрим следующий пример:
    access to *
      by anonymous auth
    access to *
      by self write
    access to *
      by users read
Вам может показаться, что данные правила позволят любому пользователю пройти аутентификацию, прочитать любые записи из каталога и изменить свои данные, если аутентификация пройдена. Однако в этом примере будет работать только аутентификация, а ldapsearch никогда не вернёт данных. Проблема в том, что SLAPD применяет настройки доступа последовательно, строка за строкой, и останавливается на первой совпавшей части правил доступа (в данном случае: to *).
Чтобы получить то, что мы хотели, файл должен выглядеть следующим образом:
    access to *
      by anonymous auth
      by self write
      by users read
Основное правило: "сначала определяются более конкретные правила, а в конце - более общие".
Смотрите также slapd.access(5), а для поиска ошибок - loglevel 128 и slapacl(8).

Исходное сообщение
"ldap настройка прав доступа" Отправлено daloman, 29-Сен-11 13:10
> Вот полная таблица доступа: Думаю, что здесь это правило не разрешает чтение атрибутов, т.к. применяется первым. Пользователи kontroller1, kontroller2, kontroller3 подпадают под действие последнего фильтра и следующее правило уже не используется. access to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=ldap,dc=localdomain" write by * none Ссылка на руководство администратора OpenLDAP 2.4: http://pro-ldap.ru/tr/admin24/access-control.html 8.4.10. Если что-то работает не так, как ожидалось Рассмотрим следующий пример: access to * by anonymous auth access to * by self write access to * by users read Вам может показаться, что данные правила позволят любому пользователю пройти аутентификацию, прочитать любые записи из каталога и изменить свои данные, если аутентификация пройдена. Однако в этом примере будет работать только аутентификация, а ldapsearch никогда не вернёт данных. Проблема в том, что SLAPD применяет настройки доступа последовательно, строка за строкой, и останавливается на первой совпавшей части правил доступа (в данном случае: to ). Чтобы получить то, что мы хотели, файл должен выглядеть следующим образом: access to by anonymous auth by self write by users read Основное правило: "сначала определяются более конкретные правила, а в конце - более общие". Смотрите также slapd.access(5), а для поиска ошибок - loglevel 128 и slapacl(8).

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Вот полная таблица доступа: > Думаю, что здесь это правило не разрешает чтение атрибутов, т.к. применяется первым. > Пользователи kontroller1, kontroller2, kontroller3 подпадают под действие последнего > фильтра и следующее правило уже не используется. > [code] > access to attrs=userPassword,shadowLastChange > by self write > by anonymous auth > by dn="cn=admin,dc=ldap,dc=localdomain" write > by * none > [/code] > Ссылка на руководство администратора OpenLDAP 2.4: http://pro-ldap.ru/tr/admin24/access-control.html > [code] > 8.4.10. Если что-то работает не так, как ожидалось > Рассмотрим следующий пример: > access to * > by anonymous auth > access to * > by self write > access to * > by users read > Вам может показаться, что данные правила позволят любому пользователю пройти аутентификацию, > прочитать любые записи из каталога и изменить свои данные, если аутентификация > пройдена. Однако в этом примере будет работать только аутентификация, а ldapsearch > никогда не вернёт данных. Проблема в том, что SLAPD применяет настройки > доступа последовательно, строка за строкой, и останавливается на первой совпавшей части > правил доступа (в данном случае: to ). > Чтобы получить то, что мы хотели, файл должен выглядеть следующим образом: > access to > by anonymous auth > by self write > by users read > Основное правило: "сначала определяются более конкретные правила, а в конце - более > общие". > Смотрите также slapd.access(5), а для поиска ошибок - loglevel 128 и slapacl(8). > [/code]
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру