OpenLdap 2.4 ACL

Question

OpenLdap 2.4 ACL

#1 resposta do (0 votos)

0

você pode me ajudar com os direitos do grupo OpenLdap 2.4 ?

Existe o meu slapd.conf

# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

#Basic rights for authentication
access to attrs=userPassword
    by self write
    by anonymous auth
    by * none

#Rights for groups GR_READ and GR_WRITE
access to *
  by self write
  by group.exact="cn=GR_READ,ou=groups,ou=BGA,o=Company,c=com" read
  by group.exact="cn=GR_WRITE,ou=groups,ou=BGA,o=Company,c=com" write
  by * none

Esta configuração funciona bem. Eu tenho pessoas em grupos com o nome GR_READ and GR_WRITE

Mas meu problema é sincronizar DIT entre dois Openldap DB. Sincronização não funciona! Eu recebi erro findbase falhou! 32 em slapd.log Eu tenho configuração multi-master.

Se eu alterar a configuração slapd.conf para isso:

#Basic rights for authentication
access to attrs=userPassword
    by self write
    by anonymous auth
    by * none

#Rights for groups GR_READ and GR_WRITE
access to *
    by * read

Sincronização funciona! Nenhum erro em slapd.log . Mas eu não tenho direitos para meus grupos e o usuário anônimo pode ligar o LDAP.

Então eu tenho outro problema com desativar anônimo. Se eu mudar

# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

PARA

disallow bind_anon

A sincronização não funciona! Eu recebi erro findbase falhou! 32 em slapd.log

Obrigado pela ajuda.

bind acl openldap

por Jan Blaha 10.05.2018 / 14:04

1 resposta

Tags bind acl openldap

Por que minha variável local está em um loop 'while read', mas não em outro loop aparentemente similar? Como corrigir bug de exibição no gnome 3

score 0 · Answer 1

Você precisa especificar informações de ligação nas instruções syncrepl e conceder explicitamente acesso global de leitura a essas entidades, preferencialmente por meio de outro grupo REPLICAS .

Além disso, recomendo refatorar sua ACL assim:

access to *
  by group.exact="cn=REPLICAS,ou=groups,ou=BGA,o=Company,c=com" read
  by self write
  by group.exact="cn=GR_WRITE,ou=groups,ou=BGA,o=Company,c=com" write
  by group.exact="cn=GR_READ,ou=groups,ou=BGA,o=Company,c=com" read
  by * none

Caso contrário, os usuários que são membros de GR_WRITE e GR_READ não podem gravar. A ordem é significativa: o fluxo de controle para na primeira partida!

Além disso, eu revisaria se by self write é seguro para todos os seus casos de uso. Mas essa é a sua política de segurança ...