Сообщения

1

Access Control List (ACL) / Re: Управляемая публичность данных

« : 24 Октябрь 2013, 18:30:10 »

Здравствуйте!
Блин, ничего путнего я так и не придумал. Ни один вариант не нравится.
Но что поделать, видимо придется делать костыль из перечисления всех подразделений.

Подскажите, сильно ли влияет количество ACL на быстродействие системы?
Просто у меня уже 16 строчек ACL, если к ним прибавится еще 4-6 - не сильно ли громоздко получится?

2

Access Control List (ACL) / Re: Управляемая публичность данных

« : 15 Октябрь 2013, 02:15:58 »

Здравствуйте, Егор!

Можно попытаться решить её "в лоб" фильтром типа (|(memberOf=cn=PublicPeople,ou=a,dc=example,dc=com)(memberOf=cn=PublicPeople,ou=b,dc=example,dc=com)(memberOf=cn=PublicPeople,ou=z,dc=example,dc=com)) , надеюсь, подразделений у Вас меньше, чем 16 =)

Подразделений у нас около пятидесяти =(

П.С. Регэксп тоже не получится?
П.П.С. Да, еще. Каждый пользователей имеет атрибут ou. Пробовал сделать конкатенацией строк что-то типа
to filter=(memberof="([cn=PublicPeople,ou=]+this/ou+[,dc=example,dc=com])") attrs=sn * read
Для наборов работает, а здесь нет.

3

Access Control List (ACL) / Re: Управляемая публичность данных

« : 14 Октябрь 2013, 19:15:04 »

Да, похоже это именно то, что нужно!
Правда придется подключать дополнительное наложение...
Спасибо большое, попробую.

П.С. не подскажите еще, как настроить фильтр, если заранее dn группы неизвестен?
Например - есть подразделения
ou=a,dc=example,dc=com
ou=b,dc=example,dc=com
..
ou=z,dc=example,dc=com
в каждом из них есть "контактные лица", перечисленные в
cn=PublicPeople,ou=a,dc=example,dc=com
cn=PublicPeople,ou=b,dc=example,dc=com
..
cn=PublicPeople,ou=z,dc=example,dc=com

Как лучше указать правило в таком случае?

4

Access Control List (ACL) / Управляемая публичность данных

« : 13 Октябрь 2013, 12:32:58 »

Здравствуйте!
ЛДАП настроен так, что у простых пользователей нельзя прочитать многие атрибуты (например, sn)
Есть категория пользователей, которым данные реквизиты нужно открыть.

Вопрос состоит в следующем - как написать правило доступа "у определенных пользователей атрибут sn могут читать все"?

Что-то типа
access to group="cn=PublicPeople,dc=example,dc=com" attrs=sn
by * read

Т.е. у группы PublicPeople есть атрибут member, и у всех, кто упомянут в member, можно было прочитать sn

5

Общий раздел / Re: ldap_bind: Invalid credentials (49)

« : 15 Июль 2013, 01:24:55 »

Здравствуйте!
В том то и дело, что ничего не менял.
Все работало нормально, потом я некоторое время не заходил (не меняя ничего в конфигурации). Когда решил снова зайти - ЛДАП меня не пустил.
П.С. Ограничений на срок давности паролей не стоит...

6

Общий раздел / ldap_bind: Invalid credentials (49)

« : 13 Июль 2013, 23:31:36 »

Здравствуйте!
С некоторых пор не удается ничего сделать в ЛДАПе, система не принимает пароли (ldap_bind: Invalid credentials (49))
Поначалу подумал, что забыл пароль. Сбросил пароль на «qwe»:

dn: cn=admin,dc=my_domain
userPassword:: cXdl

Все равно ldap_bind: Invalid credentials (49)
Кто-нибудь подскажите, в чем может быть дело и куда копать?

openldap-2.4.35
Система — Gentoo