Назад | Перейти на главную страницу

Предоставление доступа к атрибуту authzTo

Я пытаюсь предоставить определенным учетным записям доступ к их authzTo атрибут, чтобы разрешить прокси-авторизация.

Я попытался добавить этот ldif:

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcAccess
olcAccess: {1}to authzTo by dn.children="ou=Special Accounts,dc=example,dc=com" auth
-

используя команду ldapadd -f perm.ldif -D "cn=admin,cn=config" -W

но получил эту ошибку:

modifying entry "olcDatabase={-1}frontend,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
    additional info: <olcAccess> handler exited with 1

использование подробного вывода и повышение уровня отладки больше не дало мне никаких подсказок. Кто-нибудь может увидеть, что я делаю не так?

Понял, что делал глупо после работы над некоторыми другими разрешениями. Так должно быть attrs=authzTo, не просто authzTo сам по себе. И я действительно хотел

to dn.children="ou=Special Accounts,dc=example,dc=com" attrs=authzTo by self auth

РЕДАКТИРОВАТЬ: OP явно спрашивает об авторизации, а не о доступе для записи, поэтому этот ответ не очень актуален.

Я понимаю, что опаздываю на этот вопрос на 8 лет, но я думаю, что нужно отметить, что разрешать доступ на запись к собственному атрибуту authzTo - плохая идея.

Исходные правила чрезвычайно эффективны. Если обычные пользователи имеют доступ для записи атрибута authzTo в свои собственные записи, они могут написать правила, которые позволят им авторизоваться как кто-либо другой. Таким образом, при использовании исходных правил атрибут authzTo должен быть защищен ACL, который позволяет только привилегированным пользователям устанавливать его значения.

(цитата из https://www.linuxtopia.org/online_books/network_administration_guides/ldap_administration/sasl_SASL_Proxy_Authorization.html)