Marco Gaiarin disse: > Due note. La guida è sicuramente molto chiara, ma mi è sembrata un > ninin poco 'pratica': in fase di detup 'sul campo' ho incontrato dei > problemi che ho risolto solo con google.
la versione nuova dovrebbe essere meglio. > Innanzitutto una inezia: il modulo va caricato!!! dieciminuti di > panico per questo... ;))) come tutti i moduli... > Prima domanda: è possibile, invece di andare a modificare ogni ACL > aggiungere una ACL su match wildcard (*) ma che venga usata solo per un > dato utente? > > Ho provato ad aggiungere una entry come: > > access to * > by dn="cn=replica,dc=sv,dc=lnf,dc=it" read > > ma poi vengono, e credo anche giustamente per come è costruito il > parser, saltate tutte le altre. man slapd.access ... io darei un'occhiata ai possibili controlli... > Seconda domanda: i due documenti del samba wiki fanno riferimento > entrambi all'utilizzo di 'rootdn', che nella configurazione standard > debian è commentato. > > Scommentato, l'unica differenza che noto è che le ACL vengono > bellamente ignorate (stampa un warning slapd, anche) e che non c'è > nessun limite, ergo 'rootdn' è a quel punto veramente a potete totale. > La cosa sinceramente non mi dispiace, mi chiedo quali criteri ci siano > dietro al non abilitare la 'rootdn', e ad aggiungere invece ACL e > eliminazione di limitazioni specifiche. rootdn, se presente, salta totalmente l'elaborazione delle ACL. e' ovviamente una scelta di controllo. Se lo abiliti, chiunque conosca la password (che puo' essere in ldap e non necessariamente nello slapd.conf) puo' fare qualunque cosa senza limiti. Altrimenti ti obbliga a scrivere delle acl veramente buone anche per l'utente che ne ha il ruolo... Ing. Luca Scamoni Responsabile Ricerca e Sviluppo SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it ----------------------------------- Office: +39 0382 573859 (137) Mobile: +39 347 1014425 Email: [EMAIL PROTECTED] ----------------------------------- _______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
