[OpenLDAP] ACL espressioni regolari

2008-02-25 Per discussione Andrea Cirulli 
Ciao,

Ho un istanza openldap di questo tipo

dc=example,dc=com
-ou=dc_server1
-ou=dc_server2
-ou=dc_server3
-ou=dc_server4
-ou=informazioni
-ou=amministratori
-ou=web
 |--ou=persone
 |uid=pippo
 |uid=pluto
 |uid=paperino
 |--ou=gruppi
 |--ou=database

Devo definire una acl che permetta agli utenti sotto
ou=persone,ou=web,ou=example,ou=com di vedere solo le proprie entry. Per
esempio
pippo deve essere in grado di leggere solo
uid=pippo,ou=persone,ou=web,ou=example,ou=com e così per tutti gli utenti
sotto il ramo ou=persone.

Dopo un po' di tentativi quello che sono riuscito ad ottenere è solo che gli
utenti possano vedere tutti gli uid sotto il ramo persone.
Qualcuno ha qualche suggerimento per una ACL con espressioni regolari che
permetta di ottenere quanto detto sopra??


Grazie in anticipo,

Ciao!


-- 
Andrea Cirulli




___
OpenLDAP mailing list
OpenLDAP@sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] ACL espressioni regolari

2008-02-25 Per discussione Andrea Cirulli 
Grazie a tutti per l'acl che mi avete fornito,

volevo chiedere un'altra informazione è possibile sempre tramite ACL non
permettere agli utenti normali di visualizzare lo schema (per esempio il
software softerra ldap administrator ha una funzionalità che permette di
vedere lo schema del server ldap).

Quello che vorrei ottenere è che: solo l'utente root ha il permesso di
vedere lo schema mentre tutti gli altri utenti no!

Grazie ancora  a tutti,

Ciao,

2008/2/25 Michele Codutti [EMAIL PROTECTED]:

 Effettivamente ho supposto che non ci fossero entry figlie.
 Grazie della spiegazione, mi ero spaventato a vedere la tua ACL.

 Il giorno lun, 25/02/2008 alle 10.06 +0100, Pierangelo Masarati ha
 scritto:
  Michele Codutti wrote:
   Questa ACL non va bene?
   access to dn.subtree=ou=persone,ou=web,ou=example,ou=com
   by self read
 
  Nel modo da te indicato ogni utente puo' solo accedere alla propria
  entry, ma non ad eventuali entry figlie della propria.  Se non sono
  previste entry figlie, questo modo e' piu' efficiente di quello che
  avevo indicato io, perche' evita regex match ed espansione.
 
  Ciao, p.
 
 
 
  Ing. Pierangelo Masarati
  OpenLDAP Core Team
 
  SysNet s.r.l.
  via Dossi, 8 - 27100 Pavia - ITALIA
  http://www.sys-net.it
  ---
  Office:  +39 02 23998309
  Mobile:  +39 333 4963172
  Email:   [EMAIL PROTECTED]
  ---
 
 
 






 ___
 OpenLDAP mailing list
 OpenLDAP@sys-net.it
 https://www.sys-net.it/mailman/listinfo/openldap




-- 
Andrea Cirulli




___
OpenLDAP mailing list
OpenLDAP@sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap