Il 21/09/2012 14:16, Marco Gaiarin ha scritto:
>
> Debian mette di default una ACL in slapd.conf/cn=config del tipo:
>
> access to attrs=userPassword,shadowLastChange
> by dn="cn=admin,dc=a,dc=b,dc=it" write
> by anonymous auth
> by self write
> by * none
>
> ma direi che non è ottimale, perchè in quasta maniera l'utente normale
> non vede nemmeno 'shadowLastChange', e la cosa non ha molto senso.
ciascuno vede la propria shadowLastChange (by self write), nessuno puo'
vedere la shadowLastChange altrui, che mi sembra possa anche aver senso.
Qual e' il senso che ciascuno possa guardarsi quando gli altri si sono
cambiati le password? Saranno ben fatti loro.
>
> Inoltre normalmente aggiungo:
>
> access to attrs=loginShell,gecos
> by dn="cn=admin,dc=a,dc=b,dc=it" write
> by self write
> by * read
>
> Mi chiedo: è possibile costruire una ACL che permetta all'utente di
> modificare 'shadowLastChange' esclusivamente se viene
> contemporaneamente modificato 'userPassword'?!
> [se parlassimo di SQL mi verrebbero in mente i trigger..]
>
> Questo dovrebbe permettere il cambio password utilizzando
> esclusivamente le credenziali utente, e non quelle di amministrazione.
Se hai bisogno di vedicita' nella data di cambio password, abilita le
ppolicy che ti aggiungono un attributo non modificabile se non al cambio
password che e' pwdChangedTime.
Se hai bisogno che l'amministratore non cambi la password dell'utente,
togli il write per l'admin nella prima acl:
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=a,dc=b,dc=it" read
by anonymous auth
by self write
by * none
Oppure non ho capito.
ciao,
Francesco
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
