[OpenLDAP] Qualche problema con le acl

Fri, 04 May 2012 00:52:50 -0700 

Ciao a tutti,

ho davvero qualche problema con le acl di openldap.

Ho due server openldap 2.4.30. Per quel che ne capisco sono molto simili
nelle acl:

# {0}config, config
dn: olcDatabase={0}config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to *  by * none
olcAccess: {1}to * by
dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
 ,cn=auth manage by * break
olcAccess: {2}to dn.subtree="cn=schema,cn=config"  by
dn.base="cn=admschema,dc
 =unimore,dc=it" read by
group/groupOfNames/member.exact="cn=schema,ou=groups,
 dc=unimore,dc=it" read  by * none
olcAccess: {3}to dn.base="cn=config"  by * none
[...]

# {-1}frontend, config
dn: olcDatabase={-1}frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: {-1}frontend
olcAccess: {0}to * by
dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
 ,cn=auth manage by * break
[...]

Su uno dei due il comando:
ldapsearch -H ldapi:/// -Y EXTERNAL ...

mi permette un'interrogazione con poteri di manage. Sull'altro (i
frammenti di acl provengono da quello in cui non funziona) sono un anonimo.

Vedo una differenza nei log.

Questo e' quello che non funziona:
May  4 09:18:19 imposta slapd[900]: => acl_mask: to all values by
"gidNumber=1000+uidNumber=1000,cn=peercred,cn=external,cn=auth", (=0)
May  4 09:18:19 imposta slapd[900]: <= check a_dn_pat: *
May  4 09:18:19 imposta slapd[900]: <= acl_mask: [1] applying none(=0)
(stop)

questo e' quello che funziona:
May  4 08:51:06 ldap4 slapd[30363]: => acl_mask: to all values by
"gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
May  4 08:51:06 ldap4 slapd[30363]: <= check a_dn_pat:
gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
May  4 08:51:06 ldap4 slapd[30363]: <= acl_mask: [1] applying
manage(=mwrscxd) (stop)
May  4 08:51:06 ldap4 slapd[30363]: <= acl_mask: [1] mask: manage(=mwrscxd)

Giusto per sapere: cosa vuol dire "check a_dn_pat"? Sbaglio a pensare
che stia li' il problema? Da dove potrei partire?

grazie,

Francesco

_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Rispondere a