Mandi! Francesco Malvezzi In chel di` si favelave... > Pensa che ti avevo gia' risposto sulla mailing list! > http://www.sys-net.it/pipermail/openldap/2012-September/thread.html
Interessante... il messaggio è passato in lista, io non l'ho ricevuto indietro, e non ho ricevuto manco la risposta. Potete fare una verifica, per piacere? Nel merito: > > access to attrs=userPassword,shadowLastChange > > by dn="cn=admin,dc=a,dc=b,dc=it" write > > by anonymous auth > > by self write > > by * none > ciascuno vede la propria shadowLastChange (by self write), nessuno puo' > vedere la shadowLastChange altrui, che mi sembra possa anche aver senso. > Qual e' il senso che ciascuno possa guardarsi quando gli altri si sono > cambiati le password? Saranno ben fatti loro. Anche il tuo ragionamento effettivamente ha un senso; l'informazione non è utile ad altri utenti, o perlomeno è sovrabbondante. Altro problema è il 'write': così come è espressa, l'utente può in teoria cambiarsi la data di scadenza della password senza cambiare la password, giusto? Non sarebbe più corretto fare: access to attrs=userPassword by dn="cn=admin,dc=a,dc=b,dc=it" write by anonymous auth by self write by * none access to attrs=shadowLastChange by dn="cn=admin,dc=a,dc=b,dc=it" write by self read by * none oppure 'self write' già prevede una sorta di ''ppolicy'' che non permette il cambio data se non contestualmente? > > Mi chiedo: è possibile costruire una ACL che permetta all'utente di > > modificare 'shadowLastChange' esclusivamente se viene > > contemporaneamente modificato 'userPassword'?! > > [se parlassimo di SQL mi verrebbero in mente i trigger..] > Se hai bisogno di vedicita' nella data di cambio password, abilita le > ppolicy che ti aggiungono un attributo non modificabile se non al cambio > password che e' pwdChangedTime. Ottimo, era quello che mi interessava. Al tempo; poi ho scoperto che epr altri motivi non posso rinunciare all'amministratore per la modifica password, ma questa è un'altra storia... ;-))) PS: visto come va con la lista, magari mettimi in CC... grazie... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/chi_siamo/5xmille.php (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA) _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap