Buongiorno,
Non riesco a scrivere una acl di gestione dei gruppi che vorrei spiegare.
Vorrei che i gruppi (che stanno nell'albero ou=groups,dc=example,dc=com):
1) fossero scrivibili dagli utenti membri di un certo gruppo
2) leggibili dagli utenti membri di un altro certo gruppo
3) leggibili da un utente se e' membro di quel gruppo
4) by * none
Ho provato cosi':
olcAccess: {5}to dn.subtree="ou=groups,dc=example,dc=com"
by
group/groupOfNames/member.exact="cn=grouper,ou=groups,dc=example,dc=com"
write
by
group/groupOfNames/member.exact="cn=admins,ou=groups,dc=example,dc=com"
read
by dnattr=member read
by * none
Quello che non funziona e' 3) -> l'accesso e' sempre negato.
L'esito di slapacl e':
4fa3b7d6 => acl_mask: access to entry
"cn=cesia,ou=groups,dc=example,dc=com", attr "member" requested
4fa3b7d6 => acl_mask: to all values by
"uid=malvezzi,ou=people,dc=example,dc=com", (=0)
[...]
4fa3b7d6 <= check a_group_pat: cn=grouper,ou=groups,dc=example,dc=com
4fa3b7d6 <= check a_group_pat: cn=admins,ou=groups,dc=example,dc=com
4fa3b7d6 <= check a_dn_at: member
4fa3b7d6 <= check a_dn_pat: *
4fa3b7d6 <= acl_mask: [5] applying none(=0) (stop)
4fa3b7d6 <= acl_mask: [5] mask: none(=0)
4fa3b7d6 => slap_access_allowed: auth access denied by none(=0)
4fa3b7d6 => access_allowed: no more rules
member: none(=0)
cioe' arriva fino all'ultima regola e non c'e' il match con la regola
by dnattr=member read
ma il gruppo e':
dn: cn=cesia,ou=groups,dc=example,dc=com
gidNumber: 1000
memberUid: malvezzi
objectClass: eduMember
objectClass: groupOfNames
objectClass: posixGroup
objectClass: top
objectClass: unimoreGroup
description: cesia
hasMember: malvezzi
member: uid=malvezzi,ou=people,dc=example,dc=com
cn: cesia
cioe' io sono membro.
Cosa non vedo, stavolta?
grazie,
Francesco
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
