Mandi! Francesco Malvezzi
In chel di` si favelave...
> Pensa che ti avevo gia' risposto sulla mailing list!
> http://www.sys-net.it/pipermail/openldap/2012-September/thread.html
Interessante... il messaggio è passato in lista, io non l'ho ricevuto
indietro, e non ho ricevuto manco la risposta.
Potete fare una verifica, per piacere?
Nel merito:
> > access to attrs=userPassword,shadowLastChange
> > by dn="cn=admin,dc=a,dc=b,dc=it" write
> > by anonymous auth
> > by self write
> > by * none
> ciascuno vede la propria shadowLastChange (by self write), nessuno puo'
> vedere la shadowLastChange altrui, che mi sembra possa anche aver senso.
> Qual e' il senso che ciascuno possa guardarsi quando gli altri si sono
> cambiati le password? Saranno ben fatti loro.
Anche il tuo ragionamento effettivamente ha un senso; l'informazione
non è utile ad altri utenti, o perlomeno è sovrabbondante.
Altro problema è il 'write': così come è espressa, l'utente può in
teoria cambiarsi la data di scadenza della password senza cambiare la
password, giusto?
Non sarebbe più corretto fare:
access to attrs=userPassword
by dn="cn=admin,dc=a,dc=b,dc=it" write
by anonymous auth
by self write
by * none
access to attrs=shadowLastChange
by dn="cn=admin,dc=a,dc=b,dc=it" write
by self read
by * none
oppure 'self write' già prevede una sorta di ''ppolicy'' che non
permette il cambio data se non contestualmente?
> > Mi chiedo: è possibile costruire una ACL che permetta all'utente di
> > modificare 'shadowLastChange' esclusivamente se viene
> > contemporaneamente modificato 'userPassword'?!
> > [se parlassimo di SQL mi verrebbero in mente i trigger..]
> Se hai bisogno di vedicita' nella data di cambio password, abilita le
> ppolicy che ti aggiungono un attributo non modificabile se non al cambio
> password che e' pwdChangedTime.
Ottimo, era quello che mi interessava.
Al tempo; poi ho scoperto che epr altri motivi non posso rinunciare
all'amministratore per la modifica password, ma questa è un'altra
storia... ;-)))
PS: visto come va con la lista, magari mettimi in CC... grazie...
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
