Linux

OpenLDAP 授予組寫入權限

  • October 29, 2016

我們的openldap有多個組:useradmins、agt、ib、iss、itt

“useradmins”組始終具有編輯(寫入)所有組的權限。我最近執行了一個簡單的 ‘yum update’ 並更新了 openldap。從那時起(大約 3 天前)管理員不能寫(添加或更改使用者)。錯誤是:

訪問權限不足 - 對父級沒有寫訪問權限

…或者,根據我對 slapd.conf 文件的嘗試/錯誤,有時我很容易得到:

訪問權限不足

我編輯了我的 slapd.conf 文件(大約 500 次),在閱讀線上文章、文件等時嘗試了不同的設置。我目前的 slapd.conf 文件如下所示:

...
database        bdb
suffix          "dc=am5up,dc=com"
directory       /var/lib/ldap

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber               eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index entryCSN                          eq
index entryUUID                         eq

access to *
         by self write
         by dn="cn=admin,dc=am5up,dc=com" write
         by group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
         by * read
rootdn    "cn=admin,dc=am5up,dc=com"
rootpw    <hashed pwd>
...

我的假設是這條線是錯誤的:

group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write

…但我已經嘗試了幾十種變體,但都沒有成功。

任何人都可以提出任何建議嗎?

非常感激。

因此,根據評論,該組如下:

dn:cn=useradmins,ou=group,dc=am5up,dc=com

cn: 使用者管理員

編號:10001

memberuid:mscot

對像類:posixGroup

會員:nhman

memberuid: taden

memberuid: japid

但根據acl:

由 group/groupOfUniqueNames/uniqueMember=“cn=useradmins,ou=groups,dc=am5up,dc=com” 寫

該組應具有 objectClass groupOfUniqueNames 和 uniqueMember(您要授予訪問權限的任何人)。但是如上所示的組沒有任何,所以你現在可以做兩件事:

  • 添加 objectClass groupOfUniqueNames及其成員uniqueMember,ACL 就可以正常工作了。

或者

  • 在做了一些研究後,我發現 posixGroup 只有這樣的語法,您可以使用它來授予對 posixGroup 成員的訪問權限。您必須執行以下操作:

**>

access to *
           whatever you want
           by set="user/uid & [cn=useradmins]/memberuid" write
           by * none

對於“ user/uid ”,如果 memberuids 是成員的實際 uid,這將適用,否則放置您正在使用的任何屬性。**

引用自:https://serverfault.com/questions/811998