Я пытаюсь предоставить определенным учетным записям доступ к их authzTo
атрибут, чтобы разрешить прокси-авторизация.
Я попытался добавить этот ldif:
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcAccess
olcAccess: {1}to authzTo by dn.children="ou=Special Accounts,dc=example,dc=com" auth
-
используя команду ldapadd -f perm.ldif -D "cn=admin,cn=config" -W
но получил эту ошибку:
modifying entry "olcDatabase={-1}frontend,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
additional info: <olcAccess> handler exited with 1
использование подробного вывода и повышение уровня отладки больше не дало мне никаких подсказок. Кто-нибудь может увидеть, что я делаю не так?
Понял, что делал глупо после работы над некоторыми другими разрешениями. Так должно быть attrs=authzTo
, не просто authzTo
сам по себе. И я действительно хотел
to dn.children="ou=Special Accounts,dc=example,dc=com" attrs=authzTo by self auth
РЕДАКТИРОВАТЬ: OP явно спрашивает об авторизации, а не о доступе для записи, поэтому этот ответ не очень актуален.
Я понимаю, что опаздываю на этот вопрос на 8 лет, но я думаю, что нужно отметить, что разрешать доступ на запись к собственному атрибуту authzTo - плохая идея.
Исходные правила чрезвычайно эффективны. Если обычные пользователи имеют доступ для записи атрибута authzTo в свои собственные записи, они могут написать правила, которые позволят им авторизоваться как кто-либо другой. Таким образом, при использовании исходных правил атрибут authzTo должен быть защищен ACL, который позволяет только привилегированным пользователям устанавливать его значения.