Openldap

acl 允許在所有者屬性中嵌套組

  • March 8, 2011

我正在嘗試創建一個 ACL 條目,以允許在owner組屬性中指定的使用者管理該組,並允許將包括嵌套組在內的組指定為所有者。

我有這個規則,它允許管理員訪問特定組的嵌套成員:

{0}to * by ssf=128 set="user & [cn=Administrators,ou=LDAP,dc=Applications,dc=example,dc=com]/member*" manage by * break

而且我有這條規則,它適用於向直接指定為所有者的使用者授予管理權限:

{2}to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage

但到目前為止,我還沒有弄清楚如何將這兩個概念結合起來以允許將組指定為所有者。有人得到這樣的工作嗎?

幾乎在我發布問題的同時,我就看到了我犯的愚蠢錯誤——我忘記在 acl 條目中包含要授予的權限。此條目經過測試並適用於作為所有者的使用者,以及作為所有者的組和嵌套組(具有突破,因此非所有者不會被徹底拒絕):

to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage by ssf=128 set="user & this/owner*/member*" manage by * break

引用自:https://dba.stackexchange.com/questions/1627