389 LDAP、Fedoraディレクトリサーバーに管理者ユーザーを追加する方法
特定のグループ/組織単位でユーザーを作成/削除するためのアクセス権を持つ管理者ユーザーをいくつか作成したいと思います。例えば、
User: uid=testadmin, ou=people, dc=my,dc=net
新しいユーザーを作成/ユーザーを削除するためのアクセス権が必要です
ou=People,dc=my,dc=net
以下のACIで試しましたが、機能しませんでした
(target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");)
Directory Serverコンソールから管理ユーザーを追加できますが、このユーザーデータはldifファイルに保存されず、/ var/lib/dirsrv/slap-ldap/db /のバイナリデータベースにのみ保存されます。唯一の問題は、これらのユーザーがフルパワーを持っていることであり、アクセスを制限する方法がわかりません。
よく答えると、非常に単純で論理的になります。特定のOUにACIを提供するため。この場合、ユーザーsmは、ディレクトリou = SupportGroupの下ですべての権限を持っています。
(targetattr = "*")
(target = "ldap:///ou=Support Group,dc=my,dc=net")
(version 3.0;
acl "sm aci";
allow (all)
(userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net")
;)
target:ルールを適用する場所を指定します。
targetattr:エントリのさまざまな属性へのアクセスを制限するために使用できます。あなたのような「sm」ユーザーは、ここで指定できるようなパスワードを変更するためのアクセス権を持っていません。
allow():権限を指定します
最後のものserdn(Bind Rule):誰が権限を持っているかを指定します。このようにして、他のユーザーに簡単にアクセスを許可して、自分のグループのユーザー資格情報を管理できます。