Mandi! Luca Scamoni
In chel di` si favelave...
> > Innanzitutto una inezia: il modulo va caricato!!! dieciminuti di
> > panico per questo... ;)))
> come tutti i moduli...
Eh, mica dico che è colpa mia, ma lo spaghetto me lo sono preso...
;-)))
> > ma poi vengono, e credo anche giustamente per come è costruito il
> > parser, saltate tutte le altre.
> man slapd.access ... io darei un'occhiata ai possibili controlli...
Sinceramente ho cercato di dargli una occhiata, ma non mi ci trovo
(vedi anche prossima mail, tema diverso ma stessa confusione ;).
Quello che vorrei fare è una cosa stile:
access to *
by dn="cn=replica,dc=sv,dc=lnf,dc=it" read
ma che valesse *esclusivamente* per l'utente/dn
"cn=replica,dc=sv,dc=lnf,dc=it"; Non credo che usare dn.exact risolva
il problema...
> rootdn, se presente, salta totalmente l'elaborazione delle ACL. e'
> ovviamente una scelta di controllo. Se lo abiliti, chiunque conosca la
> password (che puo' essere in ldap e non necessariamente nello slapd.conf)
> puo' fare qualunque cosa senza limiti. Altrimenti ti obbliga a scrivere
> delle acl veramente buone anche per l'utente che ne ha il ruolo...
Perfetto. Sto cercando di fare una policy per cui le password 'di
sistema' (ldap, ma anche mysql, postgres, ...) sono assolutamente
casuali e 'robotizzate', ergo sono note solo a qualche pezzo di
filesystem.
Quindi che admin abbia questi poteri non lo vedo un grosso problema,
glieli dovrei dare comunque e non ho intenzione di usare l'account
'admin' per altro se non le interfacce.
Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
