LDAP權限與ACL!

真的,LDAP要學的還很多,之前只單純的存放用的資料。配合廠商有提供更改密碼頁面,本想應沒有問題,那知得到權限不足的回應(insuffient access) ,而LDAP LOG內則是 errno=50回應。

查了一會並無相關的線索,卻到找幾筆有關ACL的文章,加上發現當更改密碼頁面資料餵給LDAP時,並非台灣廠商所說的 用Ldap Administrator連接,廠商說都用最高權限怎還有上述的權限不足回應,也搞不清楚。事實是介面送出的是 "使用者DN",綜合上述二點,我想只要朝讓用戶能有足夠權限改動自己的userpassword attribute即可。

Bingo ,答對了。access to dn.base="o=testcorp" by * read

access to attr=userpassword
by self write
by anonymous read
by * none

access to *
by self read
by users read
by anonymous read
by * none

裡面有些根本沒用的設定(ex. anonymous都可以read,那 * none等於白設),想說有做FW做管制,就暫且不管吧。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料