Ldap

如何在 389 LDAP、fedora 目錄伺服器中添加管理員使用者

  • October 29, 2016

我想創建幾個管理員使用者,他們有權在特定組/組織單位上創建/刪除使用者。例如,

User: uid=testadmin, ou=people, dc=my,dc=net

應該有權在下創建新使用者/刪除使用者

ou=People,dc=my,dc=net

我嘗試使用低於 ACI 但沒有工作

(target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");)

我可以從 Directory Server 控制台添加管理使用者,但此使用者數據不儲存在 ldif 文件中,而僅儲存在 /var/lib/dirsrv/slap-ldap/db/ 的二進制數據庫中。唯一的問題是這些使用者擁有全部權力,我不知道如何限制他們的訪問。

那麼答案變得非常簡單和合乎邏輯。為了為特定的 OU 提供 ACI。在這種情況下,使用者 sm 擁有 ou=Support Group 目錄下的所有權限。

(targetattr = "*") 
(target = "ldap:///ou=Support Group,dc=my,dc=net") 
(version 3.0;
acl "sm aci";
allow (all)
(userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net")
;)

**目標:**指定應用規則的位置。

**targetattr:**可用於限制對條目各種屬性的訪問。例如您的“sm”使用者無權更改密碼,您可以在此處指定。

**allow():**指定權限

最後一個**userdn(綁定規則):**指定誰擁有權限。通過這種方式,您可以輕鬆地將訪問權限授予其他使用者以管理他們自己的組使用者憑據。

引用自:https://serverfault.com/questions/455435