3664 links

  • GuiGui's Show

  • Home
  • Login
  • RSS Feed
  • Tag cloud
  • Picture wall
  • Daily
Links per page: 20 50 100
page 1 / 1

  • LDAP : ajouter des droits sur des attributs ou sur tous les attributs d'une classe

    Dans un annuaire LDAP (slapd), on peut attribuer des droits différents à plusieurs utilisateurs.

    On peut octroyer des droits de lecture et / ou d'écriture sur toute l'arborescence ou sur une partie (une ou plusieurs branche / unité organisationnelle) :

    dn: olcDatabase={1}mdb,cn=config
changetype: modify
delete: olcAccess
-
add: olcAccess
olcAccess: {0}to dn.subtree="ou=test,dc=exemple,dc=net" by dn="cn=test,ou=ldap,dc=exemple,dc=net" read by dn="cn=admin,ou=ldap,dc=exemple,dc=net" write by * none
-
[ autres règles ici ]
-
add: olcAccess
olcAccess: {1}to * by dn="cn=admin,ou=ldap,dc=exemple,dc=net" write by * none

    Dans cet exemple, l'utilisateur « cn=test,ou=ldap,dc=exemple,dc=net » pourra ajouter des objets dans la branche « ou=test,dc=exemple,dc=net », modifier et supprimer tout objet existant dans cette branche.

    On peut aussi octroyer des droits de lecture et / ou d'écriture sur des attributs précis précis sur tous les objets de toutes les branches (sauf règle contraire ;)) : olcAccess: to attrs=attr1,attr2,attr2,attr3 […]. Il n'est pas possible d'utiliser un joker. Exemple : il n'est pas possible de faire « attrs=person* » dans l'intention d'accorder des droits sur tous les attributs donc le nom commence par « person ». Attention : avec le droit d'écriture, il sera possible d'ajouter et de supprimer des attributs sur des objets sur lesquels l'utilisateur n'a pas les droits d'écriture. Même chose avec les droits de lecture : il sera possible de lire uniquement ces attributs-là sur un objet sur lequel l'utilisateur n'a pas de droits plus larges.

    Dans la continuité du point précédent, il est possible d'octroyer des droits pour tous les attributs d'une classe. olcAccess: to attrs=@maClasse […]. Toutes les remarques précédentes s'appliquent aussi ici.

    Attention : lorsque l'on octroie des droits "fins" (sur des branches, des attributs, etc.), il faut spécifier les droits des autres utilisateurs. Exemple : si, dans le premier exemple ci-dessus, dans la première règle, je ne précise pas que l'utilisateur « cn=admin,ou=ldap,dc=exemple,dc=net » a aussi des droits sur cette branche, il aura aucun droit, la deuxième règle ne s'appliquant pas.

    Fri Feb 8 11:42:36 2019 - permalink -
    - http://shaarli.guiguishow.info/?8Csx8A
Links per page: 20 50 100
page 1 / 1
Mentions légales identiques à celles de mon blog | CC BY-SA 3.0

Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community - Help/documentation