|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Constantin Stefanov 2:5020/400 03 Mar 2004 13:38:40
To : Serg Oskin
Subject : Re: openldap, TheBat, русский язык
--------------------------------------------------------------------------------
net.ru> <c21uh0$2l0a$1@ddt.demos.su>\n <2401745366@spider.ncc.macomnet.ru>
net.ru> <c2263g$1s7j$1@ddt.demos.su> <2282824547@spider.ncc.macomnet.ru>
From: Constantin Stefanov <cstef@mail.ru>
Serg Oskin wrote:
> CS> Мне, например, претит записи для всех людей загонять в один ou, тем
> CS> более что после этого нормально ACL не напишешь.
> >>
> >> Hу например ou=people - это картотека отдела кадров. А в каждой учётной
> >> карточке есть атрибут "должность", и если кухарка вдруг стала президентом,
> >> то её dn не меняется. :)
> >> И ACL нормально пишется. Да, много и муторно описывать доступ чуть-ли не к
> >> каждому атрибуту, но это спасибо тому, кто придумал сей синтаксис.
> CS> А вот у меня что-то не получается. Как, например, описать ACL, чтобы в
> CS> каждом подразделении конторы был человек, который мог всем сотрудникам
> CS> своего подразделения пароль менять? И как в этом случае надо описывать
> CS> подразделения и dn этого самого человека?
> CS> Я вот понял примерно, как это написать, если люди в дереве, где
> CS> поддерево - это одно подразделение, и в dn, соотвествующем
> CS> подразделению, записано, кто это человек. А вот если все люди в одной
> CS> куче, то что-то я не понимаю.
>
> А никто не мешает например вместо "access to dn=.." писать access to
> filter=.."... :)
> Hу и никто не ограничивает описание прав доступа к одному атрибуту одним
> access'ом...
Hе мешает. Hо и не помогает. Как мне фильтровать, кто к какому
подразделению принадледжит? Грубо говоря, дерво выглядит так:
ou=lab1,o=company ou=lab2,o=company
member=uid=user1,ou=people member=uid=user3,ou=people
member=uid=user2,ou=people member=uid=user4,ou=people
admin=uid=user1,ou=people admin=uid=user3,ou=people
member и admin - атрибуты ou (ну добавим еще класс). member - сотрудники
подразделения, admin - его адимнистратор. И есть записи, описывающие
сотрудников, все в куче в поддереве ou=people. Вот теперь скажи, как
написать acl, чтоб user1 мог сменить пароль user1 и user2, а user3 -
себе и user4, но не мог user1 и user2. Как написать, чтоб пароль можно
было менять себе, я знаю. А вот другим сотрудникам подразделения? Или ты
предлагаешь в запись сотрудника добавлять, в каком он подразделении?
--
Константин Стефанов
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: openldap, TheBat, русский язык |
Constantin Stefanov |
03 Mar 2004 13:38:40 |
|
|
