Linux
OpenLDAP 授予組寫入權限
我們的openldap有多個組:useradmins、agt、ib、iss、itt
“useradmins”組始終具有編輯(寫入)所有組的權限。我最近執行了一個簡單的 ‘yum update’ 並更新了 openldap。從那時起(大約 3 天前)管理員不能寫(添加或更改使用者)。錯誤是:
訪問權限不足 - 對父級沒有寫訪問權限
…或者,根據我對 slapd.conf 文件的嘗試/錯誤,有時我很容易得到:
訪問權限不足
我編輯了我的 slapd.conf 文件(大約 500 次),在閱讀線上文章、文件等時嘗試了不同的設置。我目前的 slapd.conf 文件如下所示:
... database bdb suffix "dc=am5up,dc=com" directory /var/lib/ldap index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub index entryCSN eq index entryUUID eq access to * by self write by dn="cn=admin,dc=am5up,dc=com" write by group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write by * read rootdn "cn=admin,dc=am5up,dc=com" rootpw <hashed pwd> ...
我的假設是這條線是錯誤的:
group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
…但我已經嘗試了幾十種變體,但都沒有成功。
任何人都可以提出任何建議嗎?
非常感激。
因此,根據評論,該組如下:
dn:cn=useradmins,ou=group,dc=am5up,dc=com
cn: 使用者管理員
編號:10001
memberuid:mscot
對像類:posixGroup
會員:nhman
memberuid: taden
memberuid: japid
但根據acl:
由 group/groupOfUniqueNames/uniqueMember=“cn=useradmins,ou=groups,dc=am5up,dc=com” 寫
該組應具有 objectClass groupOfUniqueNames 和 uniqueMember(您要授予訪問權限的任何人)。但是如上所示的組沒有任何,所以你現在可以做兩件事:
- 添加 objectClass groupOfUniqueNames及其成員uniqueMember,ACL 就可以正常工作了。
或者
- 在做了一些研究後,我發現 posixGroup 只有這樣的語法,您可以使用它來授予對 posixGroup 成員的訪問權限。您必須執行以下操作:
**>
access to * whatever you want by set="user/uid & [cn=useradmins]/memberuid" write by * none
對於“ user/uid ”,如果 memberuids 是成員的實際 uid,這將適用,否則放置您正在使用的任何屬性。**