Вот пример ldif моего реализованного ACL:
dn: olcDatabase={-1}frontend,cn=config
objectclass: olcDatabaseConfig
objectclass: olcFrontendConfig
olcaccess: {0}to dn.subtree="ou=someou,dc=somedc,dc=somedc" by group.exact="cn=adminwrite,ou=groups,ou=someou,dc=somedc,dc=somedc" write by * read by anonymous none
olcaccess: {1}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
olcaccess: {2}to dn.exact="" by * read
olcaccess: {3}to dn.base="cn=Subschema" by * read
olcdatabase: {-1}frontend
olcsizelimit: 500
Пользователь, принадлежащий к группе "cn = adminwrite, ou = группы, ou = someou, dc = somedc, dc = somedc"должен уметь писать поддерево"ou = someou, dc = somedc, dc = somedc", но это не так. Я не могу понять, что не так с этим набором правил. Я также пытался изменить порядок.
DN пользователя: cn = менеджер, ou = пользователи, ou = someou, dc = somedc, dc = somedc
Пользователь находится в memberUID-атрибуте группы: cn = adminwrite, ou = группы, ou = someou, dc = somedc, dc = somedc"
Кто-нибудь может мне подсказать? Мне понадобится несколько разных пользователей для нескольких поддеревьев.
Вы изменяете неправильную запись в базе данных. Вы, наверное, хотите что-то вроде dn: olcDatabase={1}hdb,cn=config.
Если у вас настроено более одного реального суффикса, вы можете выяснить, какой из них ldapsearch -b cn=config olcsuffix=dc=example,dc=com dn.