Linux

OpenLDAP ACL 允許使用者更改密碼

  • January 12, 2011

應該添加什麼 ACL slapd.conf 以允許使用者更改他們的密碼。我們現在擁有預設 ACL,僅允許 rootdn 修改權限,同時允許包括匿名在內的所有人閱讀。

嘗試以下方式:

access to attrs=userPassword
       by self write
       by anonymous auth
       by users none

access to * by * read

(請注意,出於安全原因,您不希望每個人都能讀取該UserPassword屬性——這將允許人們瀏覽您的影子/加密密碼並輕鬆執行破解程序。)


access to attrs=userPassword編輯以添加上述ACL的請求解釋

by self write

登錄的使用者可以編寫(更改)他們自己的 userPassword 屬性——這就是讓您更改密碼的原因。

by anonymous auth

匿名使用者(匿名綁定到目錄的使用者 - 即不指定 DN 和密碼)可以訪問 userPassword 以進行身份驗證(他們無權訪問它以用於任何其他目的,例如搜尋或瀏覽)。

by users none

這會拒絕登錄使用者訪問其他任何人的 userPassword 屬性。理論上這也可以auth,但通常(至少在我的環境中)登錄使用者不需要作為另一個使用者進行身份驗證/綁定。

引用自:https://serverfault.com/questions/221083