OpenLDAP 授予組寫入權限

我們的openldap有多個組：useradmins、agt、ib、iss、itt

“useradmins”組始終具有編輯（寫入）所有組的權限。我最近執行了一個簡單的 ‘yum update’ 並更新了 openldap。從那時起（大約 3 天前）管理員不能寫（添加或更改使用者）。錯誤是：

訪問權限不足 - 對父級沒有寫訪問權限

…或者，根據我對 slapd.conf 文件的嘗試/錯誤，有時我很容易得到：

訪問權限不足

我編輯了我的 slapd.conf 文件（大約 500 次），在閱讀線上文章、文件等時嘗試了不同的設置。我目前的 slapd.conf 文件如下所示：

...
database        bdb
suffix          "dc=am5up,dc=com"
directory       /var/lib/ldap

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber               eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index entryCSN                          eq
index entryUUID                         eq

access to *
         by self write
         by dn="cn=admin,dc=am5up,dc=com" write
         by group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
         by * read
rootdn    "cn=admin,dc=am5up,dc=com"
rootpw    <hashed pwd>
...

我的假設是這條線是錯誤的：

group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write

…但我已經嘗試了幾十種變體，但都沒有成功。

任何人都可以提出任何建議嗎？

非常感激。

因此，根據評論，該組如下：

dn：cn=useradmins,ou=group,dc=am5up,dc=com

cn: 使用者管理員

編號：10001

memberuid：mscot

對像類：posixGroup

會員：nhman

memberuid: taden

memberuid: japid

但根據acl：

由 group/groupOfUniqueNames/uniqueMember=“cn=useradmins,ou=groups,dc=am5up,dc=com” 寫

該組應具有 objectClass groupOfUniqueNames 和 uniqueMember（您要授予訪問權限的任何人）。但是如上所示的組沒有任何，所以你現在可以做兩件事：

• 添加 objectClass groupOfUniqueNames及其成員uniqueMember，ACL 就可以正常工作了。

或者

• 在做了一些研究後，我發現 posixGroup 只有這樣的語法，您可以使用它來授予對 posixGroup 成員的訪問權限。您必須執行以下操作：

**>

access to *
           whatever you want
           by set="user/uid & [cn=useradmins]/memberuid" write
           by * none

對於“ user/uid ”，如果 memberuids 是成員的實際 uid，這將適用，否則放置您正在使用的任何屬性。**

引用自：https://serverfault.com/questions/811998