Hallo Axel,
Axel Birndt
Hallo LDAP Spezies, hallo Dieter,
mittlerweile habe ich nun herausgefunden, das unter Ubuntu 9.10 das cn=config DB-Backend benutzt wird. Das hat mich leider einige Tage Arbeit gekostet, zu verstehen in welche Richtung das Ganze geht.
Nun weiß ich zwar was benutzt wird, aber noch nicht so richtig wie ich damit umgehen soll.
_Ein Beispiel:_
Ich habe jetzt ein LDAP Verzeichnis mit Usern und Gruppen aufgesetzt, mir also eine Struktur überlegt.
Nun scheitere ich aber im Moment daran, das ich nicht genau weiß wie ich mit den Rechten und der Rechtevergabe im LDAP umgehen soll.
Hierzu als erste Anlaufstelle man slapd.access(5), wenn du Geld ausgeben möchtest, siehe Signatur :-) da wird einiges zu Access Control beschrieben.
Nun, was ich gern möchte:
1. verstehen wie ich die Rechte korrekt mit den ACL's einstellen kann 2. kann ich Rechte in Subbäumen vererben?
Ja, access to dn.subtree...
3. es gibt zwar jede Menge Tutorials im Internet, aber ich tue mich einfach schwer damit, wenn diese schon komplettes Fachwissen bezüglich LDAP voraussetzen, und zudem noch in Englisch sind (nicht das ich kein Englisch könnte, aber es ist schon schwerer als mit einer deutschen Doku). Gibt es einfach ein gutes deutsches Tutorial, welches auch die Eigenheiten des cn=config DB-Backends behandelt?
Für cn=config gibt es noch kein Tutorial, mein Rat, verwende web2ldap als Tool zur Administration, für cn=config werden Templates bereitgestellt.
4. Könnt Ihr mir evtl. ein Beispiel zeigen wie ich a) die aktuelle Rechtevergabe aus dem LDAP auslesen kann und b) wie ich die Rechtevergabe korrekt steuern kann.
ldapsearch -D cn=config -W -b olcDatabase={1}bdb,cn=config -s base olcAccess -H ldap://localhost
5. wie ist dafür der richtige Weg? Über einen Import einer LDIF-Datei?
Nein, mit ldapmodify oder einem Tool wie ldapvi oder web2ldap
6. Ich möchte außerdem einige Bind-User anlegen, je nach Verwendungszweck einen eigenen. Am besten die Bind-User anlegen und wenn diese zu einer dedizierten Gruppe gehören, dann besitzen diese die Bind-Rechte und entsprechend alle notwendigen Leserechte (reicht das?) auf die Objekte.
Wo ist hier das Problem?
7. Zusätzlich möchte ich User im LDAP anlegen, die wenn Sie einer Admin-Gruppe angehören automatisch auch die Admin-Rechte auf das gesamte LDAP-Verzeichnis bekommen.
Lege eine Gruppe cn=administrators,dc=example,dc=com an und füge dieser Gruppe die DNs der User hinzu z.B. dn: cn=administrators,dc=example,dc=com objectclass: groupOfNames member: cn=Peter Meier,ou=users,dc=example,dc=com member: cn=Franz Müller,ou=users,dc=example,dc=com Adminrechte müssen durch Access-Regeln erteilt werden, nur rootDN darf alles, dies kann aber keine Gruppe sein. z.B. olcAccess: to dn.subtree=dc=example,dc=com by group/groupOfNames/member.exact="cn=administrators,dc=example,dc=com write [...] -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org