Il 21/09/2012 14:16, Marco Gaiarin ha scritto: > > Debian mette di default una ACL in slapd.conf/cn=config del tipo: > > access to attrs=userPassword,shadowLastChange > by dn="cn=admin,dc=a,dc=b,dc=it" write > by anonymous auth > by self write > by * none > > ma direi che non è ottimale, perchè in quasta maniera l'utente normale > non vede nemmeno 'shadowLastChange', e la cosa non ha molto senso.
ciascuno vede la propria shadowLastChange (by self write), nessuno puo' vedere la shadowLastChange altrui, che mi sembra possa anche aver senso. Qual e' il senso che ciascuno possa guardarsi quando gli altri si sono cambiati le password? Saranno ben fatti loro. > > Inoltre normalmente aggiungo: > > access to attrs=loginShell,gecos > by dn="cn=admin,dc=a,dc=b,dc=it" write > by self write > by * read > > Mi chiedo: è possibile costruire una ACL che permetta all'utente di > modificare 'shadowLastChange' esclusivamente se viene > contemporaneamente modificato 'userPassword'?! > [se parlassimo di SQL mi verrebbero in mente i trigger..] > > Questo dovrebbe permettere il cambio password utilizzando > esclusivamente le credenziali utente, e non quelle di amministrazione. Se hai bisogno di vedicita' nella data di cambio password, abilita le ppolicy che ti aggiungono un attributo non modificabile se non al cambio password che e' pwdChangedTime. Se hai bisogno che l'amministratore non cambi la password dell'utente, togli il write per l'admin nella prima acl: access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=a,dc=b,dc=it" read by anonymous auth by self write by * none Oppure non ho capito. ciao, Francesco _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap