Minimalni ACL pro OpenLDAP a overovani uzivatelu

[Pavel Lisy]

Dobry den,

pokousim se nastavit minimalni prava pri pristup do LDAPu

man ldap server LDAPSRV a klient pocitac LDAPCLIENT


Nastavil jsem na serveru tato ACL

access to attrs=userPassword,lmPassword,ntPassword
	by self write
	by group="cn=Domain Admins,ou=Groups,dc=hk,dc=tmapy,dc=cz" write
	by anonymous auth
	by * none

access to
attrs=objectClass,uid,host,uidNumber,gidNumber,homeDirectory,loginShell,gecos,desc,memberUid
   by group="cn=Domain Admins,ou=Groups,dc=hk,dc=tmapy,dc=cz" write
   by * read

access to dn=".*,dc=hk,dc=tmapy,dc=cz" 
   by dn=".*,dc=hk,dc=tmapy,dc=cz" read
   by * search


Bohuzel nss_ldap v tomto pripade nemuze nacist potrebne udaje.


musim tam dat:
access to dn=".*,dc=hk,dc=tmapy,dc=cz" 
   by * read

Ale v tom pripade muze kdokoliv precist cokoliv, coz se mi mic nechce
povolovat. Je to vubec nejak takto mozne nastavit, nebo se s timto
stavem musim smirit.

Neexistuje k teto problematice (minimalizace prav pro LDAP) nejake
HOWTO, vse co jsem dosud precetl (a bylo toho hodne) se toho tykalo
spise okrajove.

Pavel


PS. 
Mozna jen nechapu presne jak maji ACL fungovat, pri vyse zminenem
nastaveni napr. 

ldapsearch -h 'mirjam' -x -s sub -b 'ou=Users,dc=hk,dc=tmapy,dc=cz'
'(uid=pali)' 

nic nevypise, tj. ani udaje uid,host,uidNumber ...

Je to normalni, nebo je to chyba (pripadne kde)?

-- 
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.