Re: [OpenLDAP] ACL espressioni regolari
Andrea Cirulli wrote: Ciao, Ho un istanza openldap di questo tipo dc=example,dc=com -ou=dc_server1 -ou=dc_server2 -ou=dc_server3 -ou=dc_server4 -ou=informazioni -ou=amministratori -ou=web |--ou=persone |uid=pippo |uid=pluto |uid=paperino |--ou=gruppi |--ou=database Devo definire una acl che permetta agli utenti sotto ou=persone,ou=web,ou=example,ou=com di vedere solo le proprie entry. Per esempio pippo deve essere in grado di leggere solo uid=pippo,ou=persone,ou=web,ou=example,ou=com e così per tutti gli utenti sotto il ramo ou=persone. Dopo un po' di tentativi quello che sono riuscito ad ottenere è solo che gli utenti possano vedere tutti gli uid sotto il ramo persone. Qualcuno ha qualche suggerimento per una ACL con espressioni regolari che permetta di ottenere quanto detto sopra?? access to \ dn.regex=(.+,)?(uid=[^,]+,ou=persone,ou=web,ou=example,ou=com)$ by dn.expand=$2 read Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] --- ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] ACL espressioni regolari
Grazie a tutti per l'acl che mi avete fornito, volevo chiedere un'altra informazione è possibile sempre tramite ACL non permettere agli utenti normali di visualizzare lo schema (per esempio il software softerra ldap administrator ha una funzionalità che permette di vedere lo schema del server ldap). Quello che vorrei ottenere è che: solo l'utente root ha il permesso di vedere lo schema mentre tutti gli altri utenti no! Grazie ancora a tutti, Ciao, 2008/2/25 Michele Codutti [EMAIL PROTECTED]: Effettivamente ho supposto che non ci fossero entry figlie. Grazie della spiegazione, mi ero spaventato a vedere la tua ACL. Il giorno lun, 25/02/2008 alle 10.06 +0100, Pierangelo Masarati ha scritto: Michele Codutti wrote: Questa ACL non va bene? access to dn.subtree=ou=persone,ou=web,ou=example,ou=com by self read Nel modo da te indicato ogni utente puo' solo accedere alla propria entry, ma non ad eventuali entry figlie della propria. Se non sono previste entry figlie, questo modo e' piu' efficiente di quello che avevo indicato io, perche' evita regex match ed espansione. Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] --- ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- Andrea Cirulli ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap