Я использую openldap 2.4 в CentOS 7. В настоящее время пользователи могут изменить свой пароль через ACL ниже.
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to attrs=userPassword by self write by anonymous auth by dn.base="cn=ldapadm,dc=mydomain,dc=net" write by * none
-
add: olcAccess
olcAccess: to * by self write by dn.base="cn=ldapadm,dc=mydomain,dc=net" write by * read
Я хочу расширить этот ldif, чтобы организационное подразделение, расположенное ниже, могло изменять пароль других пользователей в том же подразделении.
# ldapsearch -x cn=systemuser1 -b dc=mydomain,dc=net
dn: cn=systemuser1,ou=People,dc=mydomain,dc=net
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
loginShell: /bin/bash
homeDirectory: /home/systemuser1
gidNumber: 10003
uid: systemuser1
cn: systemuser1
uidNumber: 11174
Любое предложение, как этого добиться? был бы признателен за пример формата ldif.