Structuur van de LDAP server:
dc=example,dc=com
-cn=admin
-ou=joris
--cn=admin
-ou=jan
--cn=admin
Nu moet er aan de volgende eisen worden voldaan:
1. cn=admin,ou=jan,dc=example,dc=com kan alleen schrijven in:
cn=admin,ou=jan,dc=example,dc=com kan alleen deze entry zien (lezen):
De volgende entries mag hij NIET zien:
2. cn=admin,dc=example,dc=com kan in alle entries van dc=example,dc=com schrijven.
Deze code werkt deels:
1. Kunnen ACL1 en ACL3 niet tot één ACL gecombineerd worden?
2. Waarom verstrekt deze regel:"by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write", uit ACL1 geen schrijfrechten aan cn=admin,ou=jan in de subtree van ou=jan? Waarom is hier ACL3 nog voor nodig?
3. Wat is het nut van "by self" in ACL5? Volgens 1 van mijn tutorials:
Hier wil cn=admin,dc=example,dc=com toch ook toegang tot zijn eigen entry?
4. Zitten er nog rare dingen in mijn slapd.conf die ik kan verbeteren (met uitzondering van reguliere expressies waarmee ik ACL1 en ACL2 zou kunnen samenvoegen tot één ACL).
Let op: cn=admin,dc=example,dc=com is niet mijn rootdn.
dc=example,dc=com
-cn=admin
-ou=joris
--cn=admin
-ou=jan
--cn=admin
Nu moet er aan de volgende eisen worden voldaan:
1. cn=admin,ou=jan,dc=example,dc=com kan alleen schrijven in:
code:
1
| ou=jan,dc=example,dc=com |
cn=admin,ou=jan,dc=example,dc=com kan alleen deze entry zien (lezen):
code:
1
| ou=jan,dc=example,dc=com |
De volgende entries mag hij NIET zien:
code:
1
2
| ou=joris,dc=example,dc=com cn=admin,dc=example,dc=com |
2. cn=admin,dc=example,dc=com kan in alle entries van dc=example,dc=com schrijven.
Deze code werkt deels:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| #ACL1
access to dn="ou=jan,dc=example,dc=com"
by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write
by dn.exact="cn=admin,dc=example,dc=com" write
by users none
#ACL2
access to dn="ou=joris,dc=example,dc=com"
by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write
by dn.exact="cn=admin,dc=example,dc=com" write
by users none
#ACL3
access to dn="cn=admin,dc=example,dc=com
by dn.exact="cn=admin,dc=example,dc=com" write
by users none
#ACL4
access to dn.subtree="ou=jan,dc=example,dc=com"
by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write
by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write
#ACL5
access to *
by dn.exact="cn=admin,dc=example,dc=com" write
by self write
by users read
by * none |
1. Kunnen ACL1 en ACL3 niet tot één ACL gecombineerd worden?
2. Waarom verstrekt deze regel:"by dn.exact="cn=admin,ou=jan,dc=example,dc=com" write", uit ACL1 geen schrijfrechten aan cn=admin,ou=jan in de subtree van ou=jan? Waarom is hier ACL3 nog voor nodig?
3. Wat is het nut van "by self" in ACL5? Volgens 1 van mijn tutorials:
Ik begrijp het verschil met het volgende stuk code niet:self: Access to an entry is allowed if the entry authenticates with a password used in that entry.
code:
1
2
| access to dn="cn=admin,dc=example,dc=com
by dn.exact="cn=admin,dc=example,dc=com" write |
Hier wil cn=admin,dc=example,dc=com toch ook toegang tot zijn eigen entry?
4. Zitten er nog rare dingen in mijn slapd.conf die ik kan verbeteren (met uitzondering van reguliere expressies waarmee ik ACL1 en ACL2 zou kunnen samenvoegen tot één ACL).
Let op: cn=admin,dc=example,dc=com is niet mijn rootdn.
[ Voor 89% gewijzigd door Verwijderd op 21-04-2006 03:34 ]
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community)
Dit topic is gesloten.