Я пытаюсь настроить сервер OpenLDAP для тестирования и демонстрации - моей команде нужно добавить возможность подключения LDAP к нашему продукту, поэтому мы хотим иметь сервер LDAP, на котором мы можем аутентифицироваться. К сожалению, недостаточно иметь возможность разрабатывать и тестировать аутентификацию и авторизацию для людей и групп LDAP. Нам также необходимо продемонстрировать эту способность потенциальным клиентам. На этих демонстрациях нам нужно иметь возможность отображать дерево LDAP в браузере, таком как JXplorer. Моя проблема в том, что, поскольку база данных конфигурации и любая база данных пользователей должны начинаться с разных контекстов именования, две записи с разными доменами появляются в JXplorer (или любом другом браузере) при установке соединения. Как в этом случае скрыть базу данных конфигурации? Я смотрел на редактирование списка контроля доступа, но большинство примеров, которые я видел, касаются просто запрета доступа к определенным атрибутам ...
dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by * none
позволит только olcRootDN из olcDatabase={0}config,cn=config делать что-нибудь с базой данных cn=config. olcRootDN никогда не подвергается ограничениям доступа.
Из Документация OpenLDAP по ACL:
Есть два специальных псевдоатрибутов: entry и children. Чтобы прочитать (и, следовательно, вернуть) целевую запись, субъект должен иметь доступ для чтения к атрибуту целевой записи. Для выполнения поиска субъект должен иметь доступ для поиска к атрибуту записи базы поиска. Чтобы добавить или удалить запись, субъект должен иметь доступ на запись к атрибуту записи И должен иметь доступ на запись к родительскому атрибуту записи. Чтобы переименовать запись, субъект должен иметь доступ на запись к атрибуту записи И иметь доступ на запись к дочерним атрибутам старого и нового родителя. Полные примеры в конце этого раздела должны помочь прояснить ситуацию.
Наконец, есть специальный селектор записей *, который используется для выбора любой записи. Он используется, когда не указан другой селектор. Это эквивалент "dn =. *"
Просто заполните поле Base DN диалогового окна подключения JXplorer для базы данных, которую вы хотите продемонстрировать, и сохраните ее как шаблон. Тогда JXplorer покажет дерево LDAP только для этого базового DN.