URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69160
[ Назад ]

Исходное сообщение
"LDAP"
Отправлено vova , 27-Сен-06 07:15

Всем привет. Хочу сделать едуиную аутентификацию на LDAPе.
Родилась такая структура:
dc=home,dc=ru-+
                     |
                     +- ou = filial1 -+
                     |              |
                     |              +- uid = user1
                     |              +- uid = user2
                     |              +- uid = admin_filial1
                     |
                     +- ou = filial2 -+
                     |              |
                     |              +- uid = user1
                     |              +- uid = user2
                     |              +- uid = admin_filial2
                     |
                     +- ou = mailusers -+
                     |                  |
                     |                  +- uid = user1
                     |                  +- uid = user2
                     |
                     +- ou = daemons -+
                                      |
                                      +- cn = postfix
                                      |
                                      +- cn = courier
Нужно сделать так, чтобы пользователь admin_filial1 мог администрировать пользователей группы filial1. пользователь admin_filial2 юзеров группы filial2, но в тоже время они не могли "хозяйничать" в других группах, не говоря уже о всем сервере. Как это реализовать ?
Заранее спасибо всем.

Содержание

LDAP,bass, 09:15 , 27-Сен-06
LDAP,EL, 09:39 , 27-Сен-06
LDAP,DogEater, 10:20 , 27-Сен-06
- LDAP,vova, 06:04 , 28-Сен-06

Сообщения в этом обсуждении

"LDAP"
Отправлено bass , 27-Сен-06 09:15

>Всем привет. Хочу сделать едуиную аутентификацию на LDAPе.
>Родилась такая структура:
>dc=home,dc=ru-+
>
>Нужно сделать так, чтобы пользователь admin_filial1 мог администрировать пользователей группы filial1. пользователь
>admin_filial2 юзеров группы filial2, но в тоже время они не могли
>"хозяйничать" в других группах, не говоря уже о всем сервере. Как
>это реализовать ?
>Заранее спасибо всем.
естественно через acl

"LDAP"
Отправлено EL , 27-Сен-06 09:39

>Нужно сделать так, чтобы пользователь admin_filial1 мог администрировать пользователей группы filial1. пользователь
>admin_filial2 юзеров группы filial2, но в тоже время они не могли
>"хозяйничать" в других группах, не говоря уже о всем сервере. Как
>это реализовать ?
>Заранее спасибо всем.
man slapd.access

"LDAP"
Отправлено DogEater , 27-Сен-06 10:20

#для всего дерева:
access to attrs=userPassword
    by self write
    by anonymous auth
    by * none
#для первого поддерева
access to dn.sub=ou=filial1,dc=home,dc=ru
  by uid = admin_filial1,ou=filial1,dc=home,dc=ru write
  by * read
и так по аналогии для остальных веток

"LDAP"
Отправлено vova , 28-Сен-06 06:04

Понял. Спасибо всем огромное :)