ldap access rules op attribuut lukt niet - Linux en overige clients

woensdag 10 augustus 2011 22:01

Acties:

0 Henk 'm!

Karnemelk FTW

Topicstarter

Ik ben weer eens aan het klooien met ldap en ik loop weer vast op LDAP access rules.
Ik heb in een bepaalde subtree alle details voor mijn mailusers staan dit is ou=Mail,ou=Services,dc=7summits. Hierin staan aliases naar de users in de tree ou=Users,dc=7summits.

Ik heb de volgende rules aangemaakt

code:

access to dn.subtree="ou=Mail,ou=Services,dc=7summits"
        by dn="cn=mailadmin,dc=7summits" read
        by dn="cn=admin,dc=7summits" write

access to dn.subtree="ou=Users,dc=7summits"
        by dn="cn=mailadmin,dc=7summits" read
        by dn="cn=admin,dc=7summits" write

dan doe ik een query

code:

a330:~# ldapsearch -D cn=mailadmin,dc=7summits -xxx -W -b ou=Mail,ou=Services,dc=7summits -LLL -a always objectClass=mailuser mail
Enter LDAP Password:

dn: uid=daphne,ou=Users,dc=7summits
mail: daphne@home.local

a330:~#

en dan krijg ik keurig het mail attribuut terug. Ik wil eigenlijk alleen het mail attribuut kunnen zien omdat en in die useraccounts veel meer data staat dus pas ik mijn rules als volgt aan

code:

access to dn.subtree="ou=Mail,ou=Services,dc=7summits" attr=mail
        by dn="cn=mailadmin,dc=7summits" read
        by dn="cn=admin,dc=7summits" write

access to dn.subtree="ou=Users,dc=7summits" attr=mail
        by dn="cn=mailadmin,dc=7summits" read
        by dn="cn=admin,dc=7summits" write

ik doe mijn query

code:

a330:~# ldapsearch -D cn=mailadmin,dc=7summits -xxx -W -b ou=Mail,ou=Services,dc=7summits -LLL -a always objectClass=mailuser mail
Enter LDAP Password:
No such object (32)
a330:~#

ik snap er niks van en de docs op internet zijn niet heel er duidelijk. Dat zou al een teken moeten zijn dat het gewoon onnodig lastig is wat ik aan het doen ben

woensdag 10 augustus 2011 22:06

Acties:

0 Henk 'm!

Verwijderd

Moet je daar niet by ... search bij zetten?

[ Voor 6% gewijzigd door Verwijderd op 10-08-2011 22:06 ]

woensdag 10 augustus 2011 22:28

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Topicstarter

read is de overtreffende trap van search. search geeft enkel aan dat een entry bestaat denk ik terwijl je met read ook de waarde kan zien. Ik heb het ondertussen wel voor mekaar volgens mij.

code:

access to dn.subtree="ou=Mail,ou=Services,dc=7summits" attr=entry,mail
        by dn="cn=mailadmin,dc=7summits" read
        by * break

access to dn.subtree="ou=Users,dc=7summits" attr=entry,mail
        by dn="cn=mailadmin,dc=7summits" read
        by * break

icm met

code:

a330:~# ldapsearch -D cn=mailadmin,dc=7summits -xxx -W -b dc=home.local,ou=Mail,ou=Services,dc=7summits -LLL -a always mail=*
Enter LDAP Password:

dn: uid=daphne,ou=Users,dc=7summits
mail: daphne@home.local

a330:~#

de truc is volgens mij om om entry toe te voegen aan je attr string. Nu nog even zoeken waarom dat dan nodig is.