On 04/08/2013 08:06 AM, Владимир Скубриев wrote:
Здравствуйте!
Помогите пожалуйста написать правило для работы sudo-ldap.
Вот имеющиеся правила:
olcAccess: {0}to * by
dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth manage by dn="cn=zentyal,dc=cvision,dc=lab" manage by * break
olcAccess: {1}to attrs=userPassword,shadowLastChange,krb5Key by
dn="cn=zentyal
,dc=cvision,dc=lab" write by anonymous auth by
dn="cn=zentyalro,dc=cvision,dc
=lab" none by self write by * none
olcAccess: {2}to attrs=userPassword by dn="cn=zentyal,dc=cvision,dc=lab"
write
by self write by * none
olcAccess: {3}to * by users read
Если добавить в начале
olcAccess: {0}to * by * read
То не работает смена пароля. Опять же не могу понять из-за какого правила?
Может быть из-за break ? (правило 0)
Или из-за by * none (правило 1)
Но при этом sudo-ldap нормально ищет в каталоге и работает.
Если добавить в конце, то смена пароля работает, но не хватает прав у
sudo-ldap.
Какое минимальное правило должно быть для sudo-ldap на чтение каталога
(доступ на чтение только ветки ou=SUDOers не достаточен - я проверял)?
Я знаю, что sudo-ldap может работать и подключаясь под конкретным dn. Но
мне хочется сделать без этих дополнительных настроек. Например, чтобы не
хранить на машине binddn и bindpw от Read-Only аккаунта для sudo-ldap.
Хотя опять же - как правильно ?
Хотя конечно я уже храню их для работы nslcd в файле /etc/nslcd.conf
Но может есть более правильный подход к организации входа в систему
через LDAP и всего сопутствующего ?
Можно ли открывать каталог для доступа на чтение всем пользователям
локальной сети ?
Как сделать доступ на чтение всего каталога всем в том числе и анонимным
пользователям, кроме опять же атрибутов с хэшами паролей ?
Спасибо большое заранее.
в зачем особые правила для работы sudo-ldap ?
мне хватает вот этого:
access to attrs=uidNumber,gidNumber
by dn="cn=admin,dc=mydc" write
by * read
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=mydc" write
by anonymous auth
by self write
by * none
access to *
by dn="cn=admin,dc=mydc" write
by self write
by * read
Удачи,
Alex
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51692f74.8080...@biotec.tu-dresden.de