|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Lunyov 2:50/551.3 21 Mar 2003 16:47:31
To : Sergey
Subject : Помогите с правами для OpenLDAP
--------------------------------------------------------------------------------
* hi
** Sergey => Alexander Lunyov
> Спсибо за совет, но речь идет о общей папке контактов, где каждый
> пользователь имеет доступ только к своим записям, с возможностью
> добавления новых. Если править конфиг каждый раз, когда пользователь
> добавит новую запись или удалит старую, то кошмар сисадмина начнется уже
> через несколько дней.
> У каждого объекта есть свой атрибут creatorsName и modifiersName, что
> содержат DN пользователя. Есть ли возможность их заюзать в конфиге для
> оперделения прав доступа?
> Хотелось бы что-то вроде:
> access to dn="cn=.*,ou=...."
> by creatorsName = <user DN> write
> ...
Hе знаю, можно ли такое сделать с помощью LDAP'а, честно говоря я не
придумал ничего лучшего, как переделать схему. То есть:
o=org.
+-ou=Departments
|
+-ou=Dep1
|
+-ou=Employees
|
+-cn=User1
| +-Entry1
|
+-cn=User2
|
+-Entry1
+-Entry2
И получается, что:
access to dn="ou=Employees,ou=Dep1,ou=Departments,o=org"
by self write
by users read
by anonymous auth
Подходит такое?
p.s.: а с creatorsName надо по идее делать так
access to filter=(creatorsName=*)
by self write
by users read
by anonymous auth
Hо не уверен что будет работать как надо.
p.p.s.: http://www.OpenLDAP.org/doc/admin/
* bye
---
* Origin: no sex until marriage! (c) Front242 (2:50/551.3)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
