Buongiorno a tutti, vi scrivo per avere un chiarimento relativamente a come si comportano le ACL in OpenLDAP 2.4(.11). Recentemente mi sono accorto che nel migrare da OpenLDAP 2.3 a OpenLDAP 2.4 ho avuto dei risultati "anomali" (nel senso che non c'erano prima) relativamente ad alcune query. Sono andato a rileggermi l'admin guide ed ho trovato la seguente nota relativa alle ACL (fonte: http://www.openldap.org/doc/admin24/appendix-upgrading.html#ACLs: searches require privileges on the search base): Search operations now require "search" privileges on the "entry" pseudo-attribute of the search base. While upgrading from 2.3.x, make sure your ACLs grant such privileges to all desired search bases.
For example, assuming you have the following ACL: access to dn.sub="ou=people,dc=example,dc=com" by * search Searches using a base of "dc=example,dc=com" will only be allowed if you add the following ACL: access to dn.base="dc=example,dc=com" attrs=entry by * search ------------------------------------------------------------------------ Note: The slapd.access(5) man page states that this requirement was introduced with OpenLDAP 2.3. However, it is the default behavior only since 2.4. Quindi, se non ho capito male per ogni nodo in cui io intenda ammettere una ricerca devo creare un ACL ad-hoc. Questa procedura complicherebbe molto sia la lettura che la successiva modifica delle ACL esistenti e non mi darebbe un significativo vantaggio per gli scopi per cui è stato configurato il server. Domanda: Dalla nota "sembra" che questo comportamento di default possa essere modificato, è vero? Se così fosse come posso fare a ripristinare la precedente interpretazione delle regole ACL (quella della 2.3)? Saluti -- Michele Codutti Centro Servizi Informatici e Telematici (CSIT) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel +39 0432 558928 fax +39 0432 558911 e-mail: michele.codutti at uniud.it
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
