Como adicionar usuários admin em 389 LDAP, servidor de diretório fedora

4

Eu quero criar alguns usuários Admin que tenham acesso para criar / excluir usuários em um grupo / unidade organizacional específico. Por exemplo,

User: uid=testadmin, ou=people, dc=my,dc=net

Deve ter acesso para criar novos usuários / excluir usuários em

ou=People,dc=my,dc=net

Eu tentei com o ACI abaixo, mas não funcionou

(target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");)

Eu posso adicionar usuários administrativos a partir do console do Directory Server, mas esses dados do usuário não são armazenados em arquivos ldif e armazenados apenas no banco de dados binário em / var / lib / dirsrv / slap-ldap / db /. O único problema é que esses usuários têm poder total e não sei como restringir o acesso deles.

    
por chandank 05.12.2012 / 21:15

2 respostas

1

Bem, a resposta é muito simples e lógica. Para fornecer uma ACI para uma OU específica. Neste caso, o usuário sm tem todos os direitos sob o diretório ou = Support Group.

 (targetattr = "*") 
(target = "ldap:///ou=Support Group,dc=my,dc=net") 
(version 3.0;
acl "sm aci";
allow (all)
(userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net")
;)

target: especifica onde aplicar a regra.

targetattr: Pode ser usado para limitar o acesso a vários atributos da entrada. Tal como você, o "sm" usuário não tem acesso para alterar a senha tal coisa que você poderia especificar aqui.

allow (): especifica a permissão

o último userdn (Bind Rule): Especifica quem tem os direitos. Desta forma, você pode facilmente dar acesso a outros usuários para gerenciar seus próprios grupos de credenciais do usuário.

    
por 06.12.2012 / 02:35
-1

Testado, funcionará perfeitamente: -

(targetattr = "*") (target = "ldap:///ou=linux,dc=pramod,dc=com")(version 3.0;acl "pramod aci";
allow (write)(userdn = "ldap:///uid=pkumar,ou=linux,dc=pramod,dc=com")
;)

De acordo com este usuário acl, o pkumar é capaz de modificar todos os atributos de todos os Distinguished Name (dn) pertencentes à Unidade Organizacional (ou) linux. Se você quiser conceder direitos totais, basta alterar (write) para (all) . Se você quiser dar os direitos na base dn, basta remover ou=linux do alvo.

    
por 01.11.2015 / 09:32