https://www.opennet.ru/openforum/vsluhforumID1/92352.html Ребята такая трабла (трабла потому что не знаю как правильно сделать).<br><br>Есть дерево в ldap дереве, и такие ветки по доменам как:<br>dc=domen1,dc=ldap,dc=localdomain<br>dc=domen2,dc=ldap,dc=localdomain<br>dc=domen3,dc=ldap,dc=localdomain<br><br>И заведено 3 пользователя для чтения паролей юзеров из каждого домена отдельно:<br>cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen1,dc=ldap,dc=localdomain<br>cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen2,dc=ldap,dc=localdomain<br>cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen3,dc=ldap,dc=localdomain<br><br>Так вот когда прописываю в кофиге права в таком виде:<br>access to dn="dc=domen1,dc=ldap,dc=localdomain" attr=userPassword<br> by dn="cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain" read<br>access to dn="dc=domen2,dc=ldap,dc=localdomain" attr=userPassword<br> by dn="cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain" read<br>access to dn="dc=domen3,dc=ldap,dc=localdomain" attr=userPassword<br> by dn="c https://www.opennet.ru/openforum/vsluhforumID1/92352.html#2 Fri, 30 Sep 2011 08:50:34 GMT <br>&gt; Ссылка на руководство администратора OpenLDAP 2.4: http://pro-ldap.ru/tr/admin24/access-control.html <br><br>Cпасибо большое, http://pro-ldap.ru/tr/admin24/access-control.html помогло, права разграничиваются должным образом как я и хотел.<br> https://www.opennet.ru/openforum/vsluhforumID1/92352.html#1 Thu, 29 Sep 2011 09:10:02 GMT &gt; Вот полная таблица доступа: <br><br>Думаю, что здесь это правило не разрешает чтение атрибутов, т.к. применяется первым. Пользователи kontroller1, kontroller2, kontroller3 подпадают под действие последнего фильтра и следующее правило уже не используется.<br><br>[code]<br>access to attrs=userPassword,shadowLastChange<br> by self write<br> by anonymous auth<br> by dn="cn=admin,dc=ldap,dc=localdomain" write<br> by * none<br>[/code]<br><br>Ссылка на руководство администратора OpenLDAP 2.4: http://pro-ldap.ru/tr/admin24/access-control.html<br><br>[code]<br>8.4.10. Если что-то работает не так, как ожидалось<br><br>Рассмотрим следующий пример:<br><br> access to *<br> by anonymous auth<br><br> access to *<br> by self write<br><br> access to *<br> by users read<br><br>Вам может показаться, что данные правила позволят любому пользователю пройти аутентификацию, прочитать любые записи из каталога и изменить свои данные, если аутентификация пройдена. Однако в этом примере будет работать только аутентификация, а ldapsearch никогда не вернёт