>> Come faccio a cambiare una acl su un cn=config in replica? > > Premetto che il tuo scenario non l'ho mai sperimentato in prima > persona e quindi non posso darti una soluzione provata e testata. > Posso solo ipotizzare una soluzione... > > Prima di tutto, essendo la tua topologia master/slave allora si' il > tuo slave non si lascia modificare esternamente. Devi dirgli di > diventare un master, creare quindi un cluster multi-master, anche se > di fatto poi ai tuoi slave non dirai di replicarsi. > > Cmq la replica la fai per mezzo di un utente, che non per forza deve > essere cn=manager. Potresti usare un tuente tecnico dedicato con i > privilegi minimi necessari (read-only) per leggere la conf. Usando le > ACL gli potresti proibire di leggere le ACL stesse, quindi evitando > che esse vengano modificate dal meccanismo di replica.
mmh interessante, ma non credo si possa fare un multimaster solo per un database. A quanto ricordo due macchine multimaster dovevano essere identiche, qui invece il database dei dati e' diverso (e' un classico syncrepl). > >> Adesso edito a mano con vim il file dentro slapd.d/cn=config, ma c'e' un >> modo piu' furbo? > > Questo e' il meccanismo ufficialmente SBAGLIATO per modificare > cn=config. In futuro potrebbero cambiare il formato di "storing" del > backend senza dirti niente e ti ritrovi fregato. > Lo sai vero che eventualmente esiste (oltre al normale ldapmodify) > l'utility slapmodify che ti consente di editare la conf a sistema > spento? No, non lo sapevo. Trovo dei riferimenti sul web a slapmodify ma non lo trovo nel sorgente di OpenLDAP-2.4.38 e non lo ho tra i comandi installati. Da dove lo scarico? grazie davvero per la risposta, scusa per la lunga attesa, Francesco _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
