Я хотел бы запретить менеджерам ldap определять пароль по умолчанию при создании учетных записей для новых пользователей. У меня есть набор ACL, который не позволяет им редактировать пароли. Но кажется, что эти ACL игнорируются при создании новой записи.
Вот списки ACL, которые у нас есть на данный момент:
{0}to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by dn="uid=passwd-manager,ou=binddn,dc=example,dc=com" write
by anonymous auth
by * none
{1}to dn.sub="ou=people,dc=example,dc=com"
by dn="cn=admin,dc=example,dc=com" write
by group/organizationalRole/roleOccupant="cn=administrators,ou=group,dc=example,dc=com" write
by dn.children="ou=binddn,dc=example,dc=com" read
by self read
by * none
{2}to dn.sub="ou=group,dc=example,dc=com"
by dn="cn=admin,dc=example,dc=com" write
by group/organizationalRole/roleOccupant="cn=administrators,ou=group,dc=example,dc=com" write
by dnattr="owner" write
by set="this/owner/uniqueMember & user" write
by dn.children="ou=binddn,dc=example,dc=com" read
by self read
by * none
{3}to dn.sub="ou=policies,dc=example,dc=com"
by dn="cn=admin,dc=example,dc=com" write
by group/organizationalRole/roleOccupant="cn=administrators,ou=group,dc=example,dc=com" write
by dn.children="ou=binddn,dc=example,dc=com" read
by * none
{4}to *
by dn="cn=admin,dc=example,dc=com" write
by group/organizationalRole/roleOccupant="cn=administrators,ou=group,dc=example,dc=com" write
by dn="uid=openldap-monitor-syncrepl,ou=binddn,dc=example,dc=com" read
by dn="uid=ldap-notify,ou=binddn,dc=example,dc=com" read
by * none
Создание такой записи, как:
#!RESULT OK
#!CONNECTION ldap://ldap.example.com:3636
#!DATE 2019-10-31T10:15:22.156
dn: cn=test,ou=people,dc=example,dc=com
changetype: add
gidNumber: 500
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
objectClass: posixAccount
uidNumber: 7777
uid: test
userPassword: e1NTSEF9Yk90Sk10TDZDd3o5NVZNR0I0NkJDcnpxVHoxRWYxWjhGMjVSWUE9PQ==
homeDirectory: /home/test
sn: test
cn: test
не жалуется на нарушение ACL {0}.
Есть идеи, как мы можем продолжить?
Спасибо