[LUGOS] LDAP in pravice
"Branko F. Gračnar"
bfg at noviforum.si
Mon Nov 17 16:53:07 CET 2003
Kostko wrote:
> Rad bi dolocil pravice, da lahko vsak uporabnik brise in dodaja svoje
> mail aliase. Vsak ze narejen mail alias ima atribut manager, ki vsebuje
> lastnika aliasa (njegov dn) in ta lastnik lahko alias spremeni ali
> izbriae. Prav tako imajo vsi prijavljeni uporabniki dovoljenje, da
> dodajo svoj alias.
>
> Trenutno imam v slapd.conf:
>
> access to dn=".*,ou=Aliases,ou=Mail,dc=jweb-network,dc=net"
> ~ by dn="cn=root,dc=jweb-network,dc=net" write
> ~ by dnattr=manager write
> ~ by * read
>
> Tako lahko lastnik (manager) spreminja svoje aliase, vendar jih ne more
> zbrisati :(
Jaz bi se zadeve lotil takole
ou=Aliases,ou=Mail,dc=jweb-network,dc=net
|
|
+ - ou=UserAliases
|
+ ou=en_uporabnik
Torej, znotraj ou=Aliases,ou=mail...., bi naredil še en ou, na katerega
bi obesil posebne ACL-je, znotraj tega ou-ja, pa bi imel vsak uporabnik
svoj ou, znotraj katerega bi bili uporabnikovi aliasi. Ideja je v tem,
da bi uporabniku potem dali dostop *samo* do njegovega ou-ja (drugi ga
itak ne smejo zanimati). To sicer spremeni search scope (če ne
uporabljaš sedaj sub), vendar mislim, da ne bi smelo upočasniti slapd-ja.
ACL bi se pa glasil nekako takole:
access to dn="ou=(.+),ou=UserAliases,ou=Mail,dc=...."
by dn="cn=root,dc=jweb-network,dc=net" write
by dn="uid=$1,ou=....." write
by * read
Drugo vrstico moraš pač spremeniti tako, da bo usklajena z drevesom
tvojega LDAP strežnika.
lp,
--
Branko F. Gracnar
Noviforum Ltd. Software & Media
http://www.najdi.si
http://www.noviforum.com
More information about the lugos-list
mailing list