Eu quero impedir que os usuários acessem qualquer coisa que não seja seus próprios dados.
Eu tentei implementar o seguinte acl simples (ldif):
dn: olcDatabase={1}mdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none
olcAccess: {1}to attrs=shadowLastChange by self write by self read by * none
olcAccess: {2}to * by self read by * none
Quando eu aplicar este ldif, não vou mais consultar (objectClass=posixAccount) . Se eu alterar a última acl para to * by * read , a consulta retornará todos os usuários.
O que estou perdendo?
Descobri que, para acessar um registro, é preciso ter privilégio de "pesquisa". Eu mudei o ACL para:
dn: olcDatabase={1}mdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none
olcAccess: {1}to attrs=shadowLastChange by self write by self read by * none
olcAccess: {2}to * by self read by * search
Usando isso, consegui consultar (objectClass=posixAccount) sem mostrar outras contas.