[LUGOS] LDAP in pravice

"Branko F. Gračnar" bfg at noviforum.si
Mon Nov 17 16:53:07 CET 2003


Kostko wrote:

> Rad bi dolocil pravice, da lahko vsak uporabnik brise in dodaja svoje
> mail aliase. Vsak ze narejen mail alias ima atribut manager, ki vsebuje
> lastnika aliasa (njegov dn) in ta lastnik lahko alias spremeni ali
> izbriae. Prav tako imajo vsi prijavljeni uporabniki dovoljenje, da
> dodajo svoj alias.
>
> Trenutno imam v slapd.conf:
>
> access to dn=".*,ou=Aliases,ou=Mail,dc=jweb-network,dc=net"
> ~        by dn="cn=root,dc=jweb-network,dc=net" write
> ~        by dnattr=manager write
> ~        by * read
>
> Tako lahko lastnik (manager) spreminja svoje aliase, vendar jih ne more
> zbrisati :(


Jaz bi se zadeve lotil takole

ou=Aliases,ou=Mail,dc=jweb-network,dc=net
 |
 |
 + - ou=UserAliases
        |
        + ou=en_uporabnik
       
Torej, znotraj ou=Aliases,ou=mail...., bi naredil še en ou, na katerega 
bi obesil posebne ACL-je, znotraj tega ou-ja, pa bi imel vsak uporabnik 
svoj ou, znotraj katerega bi bili uporabnikovi aliasi. Ideja je v tem, 
da bi uporabniku potem dali dostop *samo* do njegovega ou-ja (drugi ga 
itak ne smejo zanimati). To sicer spremeni search scope (če ne 
uporabljaš sedaj sub), vendar mislim, da ne bi smelo upočasniti slapd-ja.

ACL bi se pa glasil nekako takole:

access to dn="ou=(.+),ou=UserAliases,ou=Mail,dc=...."
    by dn="cn=root,dc=jweb-network,dc=net" write
    by dn="uid=$1,ou=....." write
    by * read

Drugo vrstico moraš pač spremeniti tako, da bo usklajena z drevesom 
tvojega LDAP strežnika.

lp,

-- 
Branko F. Gracnar
Noviforum Ltd. Software & Media
http://www.najdi.si
http://www.noviforum.com






More information about the lugos-list mailing list