LDAP-Rechte für globales Adresbuch

Sven

4 Nov 2004 4 Nov '04

11:30

Hallo zusammen, ich habe ein Problem mit meinem OpenXchange-Server da ich denke das es sich um ein LDAP-Problem handelt versuche ich's einfach mal in dieser Liste. Zunächst habe ich ein kleines Verständnisproblem. Im Rahmen der OX-Installation habe ich in meiner slapd.conf unter anderem folgenden Eintrag eingetragen: access to dn="ou=addr,uid=(.*),ou=Users,dc=dreampixel" attr=uid,objectClass,entry filter=(objectClass=OXUserObject) by self write by dn="uid=$1,ou=Users,dc=dreampixel" write by * none Mit der ersten Zeile habe ich so meine Probleme wie man sie liest. Es gibt die Container ou=addr und ou=Users welche beide auf der gleichen Ebene unter dc=dreampixel liegen. Aber was bedeutet nun dn="ou=addr,uid=(.*) Mein Problem ist das wenn ich über OX einen Kontakt hinzufügen möchte ich im groupware Log folgenden fehler bekomme: javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=17,ou=addr,uid=root,ou=Users und dieser Fehler mir 'irgendwie' nach der o.g. Konfiguration aussieht. Nur warum er ein Objekt mit uid=17 anlegen möcht oder sucht wenn ich einen Kontakt mit Michael Meier anlegen möchte verstehe ich absolut nicht. Hat von euch jemand eine Idee? Viele Grüße Sven

Show replies by date

Dieter Kluenter

4 Nov 4 Nov

13:12

Hallo Sven, Sven writes:

...

Hallo zusammen,

ich habe ein Problem mit meinem OpenXchange-Server da ich denke das es sich um ein LDAP-Problem handelt versuche ich's einfach mal in dieser Liste. Zunächst habe ich ein kleines Verständnisproblem.

Vorweg, ich habe noch keine Ahnung von OpenXchange, liegt hier immer noch und harrt der Installation :-)

...

Im Rahmen der OX-Installation habe ich in meiner slapd.conf unter anderem folgenden Eintrag eingetragen:

access to dn="ou=addr,uid=(.*),ou=Users,dc=dreampixel" attr=uid,objectClass,entry filter=(objectClass=OXUserObject) by self write by dn="uid=$1,ou=Users,dc=dreampixel" write by * none

Mit der ersten Zeile habe ich so meine Probleme wie man sie liest. Es gibt die Container ou=addr und ou=Users welche beide auf der gleichen Ebene unter dc=dreampixel liegen. Aber was bedeutet nun

dn="ou=addr,uid=(.*)

Da ist irgendetwas falsch. Wenn es die DN ou=addr,dc=dreampixel ou=Users,dc=dreampixel gibt, dann sollte vermutlich das Adressbuch für jeden User unterhalb von ou=addr,dc=dreampixel angelegt werden. Unter dieser Voraussetzung gilt dann access to dn.regex="^(.+),uid=([^,]+),ou=addrs,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write Das Recht 'self write', wie oben definiert, kann nicht funktieren, da der Adressbucheintrag sich ja nicht selbst schreibend verändern kann. Noch einige Erläuterungen: Das Caret ^ besagt, daß keine weitere Ebene unterhalb dieses Eintrages durch diese Regel betroffen wird, das Plus +, besagt, daß ein Eintrag vorhanden sein muß, ein Asteriks * würde auch einen leeren Inhalt einschließen, das Dollarzeichen $ beendet den regulären Ausdruck. Die speziellen Attribute entry und children erlauben es, neue Einträge unterhalb des DN anzulegen und bestehende zu verändern.

...

Mein Problem ist das wenn ich über OX einen Kontakt hinzufügen möchte ich im groupware Log folgenden fehler bekomme:

javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=17,ou=addr,uid=root,ou=Users

Wie sieht die Konfiguration des Adressbuches aus? Welche Searchbase ist da definiert?

...

und dieser Fehler mir 'irgendwie' nach der o.g. Konfiguration aussieht. Nur warum er ein Objekt mit uid=17 anlegen möcht oder sucht wenn ich einen Kontakt mit Michael Meier anlegen möchte verstehe ich absolut nicht.

Keine Ahnung, das verstehe ich so auch nicht. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Sven

8 Nov 8 Nov

21:12

Am Do 04.11.2004 14:12 schrieb Dieter Kluenter :

...

Sven writes:

Hallo Dieter, hallo Liste, [...9

...

Vorweg, ich habe noch keine Ahnung von OpenXchange, liegt hier immer noch und harrt der Installation :-)

Da solltest du auch etwas Zeit dafür einplanen gerade wenn du OX an eine vorhandene LDAP-Struktur anbinden möchtest.

...

...
Im Rahmen der OX-Installation habe ich in meiner slapd.conf unter anderem folgenden Eintrag eingetragen:

access to dn="ou=addr,uid=(.*),ou=Users,dc=dreampixel" attr=uid,objectClass,entry filter=(objectClass=OXUserObject) by self write by dn="uid=$1,ou=Users,dc=dreampixel" write by * none

Mit der ersten Zeile habe ich so meine Probleme wie man sie liest. Es gibt die Container ou=addr und ou=Users welche beide auf der gleichen Ebene unter dc=dreampixel liegen. Aber was bedeutet nun

dn="ou=addr,uid=(.*)

Da ist irgendetwas falsch. Wenn es die DN ou=addr,dc=dreampixel ou=Users,dc=dreampixel gibt, dann sollte vermutlich das Adressbuch für jeden User unterhalb von ou=addr,dc=dreampixel angelegt werden. Unter dieser Voraussetzung gilt dann

Ja das scheint so geplant zu sein. Das Adressbuch eines Users ist dann ein Blatt-Objekt, oder?

...

access to dn.regex="^(.+),uid=([^,]+),ou=addrs,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write

Das habe ich nun so gesetzt. Muß der LDAP-Server nach dieser Änderung eigentlich neu gestartet werden? [...]

...

+, besagt, daß ein Eintrag vorhanden sein muß, ein Asteriks * würde auch einen leeren Inhalt einschließen, das Dollarzeichen $ beendet den regulären Ausdruck.

Ich habe dann ein * angegeben da das Blatt-Objekt für das User-Adressbuch ja noch nicht existiert und durch OX angelegt wird.

...

...
Mein Problem ist das wenn ich über OX einen Kontakt hinzufügen möchte ich im groupware Log folgenden fehler bekomme: javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=17,ou=addr,uid=root,ou=Users

...

Wie sieht die Konfiguration des Adressbuches aus? Welche Searchbase ist da definiert?

Für OX gibt es das o.g. ou für die User-Adressbücher und ein o=AdressBook für das globale Adressbook. Hier drin wiederum gibt es cn=AdressAdmins wo man User hinzufügen kann. Ich habe mich als User hier auch schon hinzugefügt obwohl ich denke dass dies nicht richtig ist da es bei jedem User ein Attribut: writeGlobalAddressBook: TRUE gibt. Ist das überhaupt möglich einmal o=... und einma ou=... für die Container zu benutzen? OX hat eine Datei ldap.properties wo die Konfiguration OX->LDAP geregelt ist. Hier finde ich zum Adressbuch folgende Einträge: com.openexchange.groupware.ldap.DefaultContactSupport.AddressAdminsAttributeMemberName=member com.openexchange.groupware.ldap.DefaultContactSupport.AddressAdminsDN=cn=AddressAdmins,[globalAddressBookBaseDN] com.openexchange.groupware.ldap.DefaultContactSupport.CREDENTIALS=uid=[uid],[userBaseDN],[credentialsBaseDN] com.openexchange.groupware.ldap.DefaultContactSupport.credentialsBaseDN=[credentialsBaseDN] com.openexchange.groupware.ldap.DefaultContactSupport.globalAddressBookBaseDN=o=AddressBook com.openexchange.groupware.ldap.DefaultContactSupport.GlobalAddressBookDN=uid=[contactid],[globalAddressBookBaseDN] Wenn es hilft kann ich die einzelnen Konfigurations-Dateien mal an eine Mail hängen? Wenn ich nun versuche einen persönlichen Kontakt hinzuzufügen erhalte ich im Log: javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=22,ou=addr,uid=sven,ou=Users' Wenn ich einen globalen Kontak hinzufüge bekomme ich keinen Fehler und finde danach das Objekt im LDAP (o=AddressBook). Ich kann diesen Kontakt zwar nicht auswählen aber das dürfte ein reines OX-Problem sein welches ich dort mal in der Liste stelle. Viele Grüße Sven

Dieter Kluenter

9 Nov 9 Nov

09:37

Hallo Sven, Sven writes:

...

Am Do 04.11.2004 14:12 schrieb Dieter Kluenter :

...
Sven writes:

Hallo Dieter, hallo Liste,

[...9

...
Vorweg, ich habe noch keine Ahnung von OpenXchange, liegt hier immer noch und harrt der Installation :-)

Da solltest du auch etwas Zeit dafür einplanen gerade wenn du OX an eine vorhandene LDAP-Struktur anbinden möchtest.

Das wird wohl mein Weihnachtsprojekt :-) [...]

...

...
Da ist irgendetwas falsch. Wenn es die DN ou=addr,dc=dreampixel ou=Users,dc=dreampixel gibt, dann sollte vermutlich das Adressbuch für jeden User unterhalb von ou=addr,dc=dreampixel angelegt werden. Unter dieser Voraussetzung gilt dann

Ja das scheint so geplant zu sein. Das Adressbuch eines Users ist dann ein Blatt-Objekt, oder?

Ja.

...

...
access to dn.regex="^(.+),uid=([^,]+),ou=addrs,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write

Das habe ich nun so gesetzt. Muß der LDAP-Server nach dieser Änderung eigentlich neu gestartet werden?

Ja, leider noch, denn slapd muß ja seine Konfiguration neu einlesen, aber das wird sich mit OpenLDAP-2.3 wohl ändern.

...

[...]

...
+, besagt, daß ein Eintrag vorhanden sein muß, ein Asteriks * würde auch einen leeren Inhalt einschließen, das Dollarzeichen $ beendet den regulären Ausdruck.

Ich habe dann ein * angegeben da das Blatt-Objekt für das User-Adressbuch ja noch nicht existiert und durch OX angelegt wird.

...

...
...
Mein Problem ist das wenn ich über OX einen Kontakt hinzufügen möchte ich im groupware Log folgenden fehler bekomme: javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=17,ou=addr,uid=root,ou=Users

...
Wie sieht die Konfiguration des Adressbuches aus? Welche Searchbase ist da definiert?

Für OX gibt es das o.g. ou für die User-Adressbücher und ein o=AdressBook für das globale Adressbook. Hier drin wiederum gibt es cn=AdressAdmins wo man User hinzufügen kann. Ich habe mich als User hier auch schon hinzugefügt obwohl ich denke dass dies nicht richtig ist da es bei jedem User ein Attribut:

writeGlobalAddressBook: TRUE

gibt. Ist das überhaupt möglich einmal o=... und einma ou=... für die Container zu benutzen? OX hat eine Datei ldap.properties wo die Konfiguration OX->LDAP geregelt ist. Hier finde ich zum Adressbuch folgende Einträge:

Prinzipiell ist es möglich, zwei Adressbücher innerhalb unterschiedlicher Container zu führen, daran ist also nichts auszusetzen.

...

com.openexchange.groupware.ldap.DefaultContactSupport.AddressAdminsAttributeMemberName=member

com.openexchange.groupware.ldap.DefaultContactSupport.AddressAdminsDN=cn=AddressAdmins,[globalAddressBookBaseDN]

com.openexchange.groupware.ldap.DefaultContactSupport.CREDENTIALS=uid=[uid],[userBaseDN],[credentialsBaseDN]

com.openexchange.groupware.ldap.DefaultContactSupport.credentialsBaseDN=[credentialsBaseDN]

com.openexchange.groupware.ldap.DefaultContactSupport.globalAddressBookBaseDN=o=AddressBook

com.openexchange.groupware.ldap.DefaultContactSupport.GlobalAddressBookDN=uid=[contactid],[globalAddressBookBaseDN]

Wenn es hilft kann ich die einzelnen Konfigurations-Dateien mal an eine Mail hängen?

Da stimmt es nicht mit der BaseDN des globalen Adressbuches nicht, Möglicherweise in Konfigurationsfehler in OX,

...

Wenn ich nun versuche einen persönlichen Kontakt hinzuzufügen erhalte ich im Log:

javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=22,ou=addr,uid=sven,ou=Users'

Da stimmt doch etwas nicht mit der Eingabemaske von OX, da fehlt doch dc=dreampixel als Namensbestandteil, prüfe doch mal die gesamte Konfiguration von OX darauf hin.

...

Wenn ich einen globalen Kontak hinzufüge bekomme ich keinen Fehler und finde danach das Objekt im LDAP (o=AddressBook). Ich kann diesen Kontakt zwar nicht auswählen aber das dürfte ein reines OX-Problem sein welches ich dort mal in der Liste stelle.

Ich denke mal, das ist ein Rechteproblem. Ist möglicherweise o=Addressbook eine neue, unabhängige Database? Unabhängig von dc=dreampixel? Oder ist das nur eine verkürzende Darstellung von dir? -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Sven Gehr

10 Nov 10 Nov

12:42

Am Dienstag, 9. November 2004 10:37 schrieb Dieter Kluenter:

...

Sven writes:

...
Am Do 04.11.2004 14:12 schrieb Dieter Kluenter :

...
Sven writes:

Hallo Dieter,

...

...
...
Vorweg, ich habe noch keine Ahnung von OpenXchange, liegt hier immer noch und harrt der Installation :-)

Da solltest du auch etwas Zeit dafür einplanen gerade wenn du OX an eine vorhandene LDAP-Struktur anbinden möchtest.

...

Das wird wohl mein Weihnachtsprojekt :-)

Ich hoffe mal schwer das ich bis dahin fertig bin. Dann kann auch ich hoffentlich mal dir helfen ;-) [...]

...

...
...
Da ist irgendetwas falsch. Wenn es die DN ou=addr,dc=dreampixel ou=Users,dc=dreampixel gibt, dann sollte vermutlich das Adressbuch für jeden User unterhalb von ou=addr,dc=dreampixel angelegt werden. Unter dieser Voraussetzung gilt dann [...] access to dn.regex="^(.+),uid=([^,]+),ou=addrs,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write [...]

Ich habe mir die Grundstruktur wie sie ox mitbringt (LDIF für Ersteinrichtung) nochmal angeschaut. Ich habe dir etwas falsches gesagt. Der Container für die User-Adressbücher liegt nicht auf der obersten Ebene (also in meinem Fall direkt unter dc=dreampixel) sondern unterhalb der User-Base. Bei mir ist die UserBase in ou=Users,dc=dreampixel und somit der Container für die User-Adressbücher in ou=addr,ou=Usres,dc=dreampixel. Müßte ich das einfach so ändern: access to dn.regex="^(.*),uid=([^,]*),ou=addr,ou=Users,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write ? [...]

...

...
Wenn es hilft kann ich die einzelnen Konfigurations-Dateien mal an eine Mail hängen?

Da stimmt es nicht mit der BaseDN des globalen Adressbuches nicht, Möglicherweise in Konfigurationsfehler in OX,

...
Wenn ich nun versuche einen persönlichen Kontakt hinzuzufügen erhalte ich im Log:

javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=22,ou=addr,uid=sven,ou=Users'

Das Problem habe ich zumindest teilweise isoliert. Der gesamte Java Teil welche unter anderem zur Anbindung an die PostgreSQL notwendig ist wurde nicht mit ein compiliert. Ich werde zuerst diese Problem lösen müssen und dann an die LDAP-Anbindung gehen. Viele Grüße Sven BigBash-1.0-dev/src/avifile/avifile-20041108/ffmpeg/libavcodec/armv4l' make[3]: FÃŒr das Ziel Â»allÂ« ist nichts zu tun. make[3]: Leaving directory `/data/home/sven/Download/BigBash-1.0-dev/src/avifile/avifile-20041108/ffmpeg/libavcodec/armv4l' Making all in i386 make[3]: Entering directory `/data/home/sven/Download/BigBash-1.0-dev/src/avifile/avifile-20041108/ffmpeg/libavcodec/i386' make[3]: FÃŒr das Ziel Â»allÂ« ist nichts zu tun. make[3]: Leaving directory `/data/home/sven/Download/BigBash-1.0-dev/src/avifile/avifilead/BigBash-1.0-dev/src/avifile/avifileavifilead/BigBash-1.0-dev/src/avifile/avifile/BigBash-1.0-dev/src/avifile/avifile

Dieter Kluenter

15:01

New subject: LDAP-Rechte f=?iso-8859-15?q?=FC?=r globales Adresbuch

Hallo Sven, Sven Gehr writes:

...

Am Dienstag, 9. November 2004 10:37 schrieb Dieter Kluenter:

...
Sven writes:

...
Am Do 04.11.2004 14:12 schrieb Dieter Kluenter :

...
Sven writes:

Hallo Dieter,

...
...
...
Vorweg, ich habe noch keine Ahnung von OpenXchange, liegt hier immer noch und harrt der Installation :-)

Da solltest du auch etwas Zeit dafür einplanen gerade wenn du OX an eine vorhandene LDAP-Struktur anbinden möchtest.

...
Das wird wohl mein Weihnachtsprojekt :-)

Ich hoffe mal schwer das ich bis dahin fertig bin. Dann kann auch ich hoffentlich mal dir helfen ;-)

Ich komme auf dieses Angebot zurück :-)

...

Ich habe mir die Grundstruktur wie sie ox mitbringt (LDIF für Ersteinrichtung) nochmal angeschaut. Ich habe dir etwas falsches gesagt. Der Container für die User-Adressbücher liegt nicht auf der obersten Ebene (also in meinem Fall direkt unter dc=dreampixel) sondern unterhalb der User-Base.

Bei mir ist die UserBase in ou=Users,dc=dreampixel und somit der Container für die User-Adressbücher in ou=addr,ou=Usres,dc=dreampixel.

Müßte ich das einfach so ändern:

access to dn.regex="^(.*),uid=([^,]*),ou=addr,ou=Users,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write

Wenn das dann wirklich die Struktur widerspiegelt, ja. Aber diese Struktur wäre nicht logisch. Für mich wäre ou=addr,uid=.*,ou=users,dc=dreampixel die logischere Struktur. [...]

...

...
...
javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'uid=22,ou=addr,uid=sven,ou=Users'

Das Problem habe ich zumindest teilweise isoliert. Der gesamte Java Teil welche unter anderem zur Anbindung an die PostgreSQL notwendig ist wurde nicht mit ein compiliert. Ich werde zuerst diese Problem lösen müssen und dann an die LDAP-Anbindung gehen.

OhHa, daa hätten wir ja noch einige Zeit suchen können :-( -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Sven Gehr

11 Nov 11 Nov

11:11

Am Mittwoch, 10. November 2004 16:01 schrieb Dieter Kluenter: Hallo Dieter, [...]

...

...
Bei mir ist die UserBase in ou=Users,dc=dreampixel und somit der Container für die User-Adressbücher in ou=addr,ou=Usres,dc=dreampixel.

Müßte ich das einfach so ändern:

access to dn.regex="^(.*),uid=([^,]*),ou=addr,ou=Users,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write

Wenn das dann wirklich die Struktur widerspiegelt, ja. Aber diese Struktur wäre nicht logisch. Für mich wäre

ou=addr,uid=.*,ou=users,dc=dreampixel

die logischere Struktur.

Um die Verwirrung zu vervollständigen. Auch das File aus dem meine letzte Aussage resultierte war bereits von mir angepasst. Ich habe nochmal die orginal-Sourcen ausgepackt und das steht: dn: ou=addr,uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org ou: addr objectClass: top objectClass: organizationalUnit dn: uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org objectClass: top objectClass: shadowAccount objectClass: posixAccount objectClass: person objectClass: inetOrgPerson objectClass: OXUserObject OpenLDAPaci: 1#entry#grant;r,w,s,c;cn,initials,mail,title,ou,l,birthday,description,street,postalcode,st,c,oxtimezone,homephone,mobile,pag$ uid: mailadmin userPassword: {CRYPT}newmailadminpass [...] Hier habe ich aus: dn: uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org dn: uid=mailadmin,ou=Users,dc=dreampixel und aus: dn: ou=addr,uid=mailadmin,ou=Users,dc=dreampixel gemacht. Also ist addr ein Container unterhalb des mailadmins, richtig? Und wie müßten nun die access - Regeln aussehen? Sorry für diese Verwirrung *schäm* Viele Grüße Sven

Dieter Kluenter

12:57

New subject: LDAP-Rechte f=?iso-8859-15?q?=FC?=r globales Adresbuch

Sven Gehr writes:

...

Am Mittwoch, 10. November 2004 16:01 schrieb Dieter Kluenter:

Hallo Dieter,

[...]

...
...
Bei mir ist die UserBase in ou=Users,dc=dreampixel und somit der Container für die User-Adressbücher in ou=addr,ou=Usres,dc=dreampixel.

Müßte ich das einfach so ändern:

access to dn.regex="^(.*),uid=([^,]*),ou=addr,ou=Users,dc=dreampixel$" attrs=entry,children by dn.regex="^uid=$1,ou=Users,dc=dreampixel$" write

Wenn das dann wirklich die Struktur widerspiegelt, ja. Aber diese Struktur wäre nicht logisch. Für mich wäre

ou=addr,uid=.*,ou=users,dc=dreampixel

die logischere Struktur.

Um die Verwirrung zu vervollständigen. Auch das File aus dem meine letzte Aussage resultierte war bereits von mir angepasst. Ich habe nochmal die orginal-Sourcen ausgepackt und das steht:

dn: ou=addr,uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org ou: addr objectClass: top objectClass: organizationalUnit

dn: uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org objectClass: top objectClass: shadowAccount objectClass: posixAccount objectClass: person objectClass: inetOrgPerson objectClass: OXUserObject OpenLDAPaci: 1#entry#grant;r,w,s,c;cn,initials,mail,title,ou,l,birthday,description,street,postalcode,st,c,oxtimezone,homephone,mobile,pag$ uid: mailadmin userPassword: {CRYPT}newmailadminpass [...]

Hier habe ich aus:

dn: uid=mailadmin,ou=Users,ou=OxObjects,dc=example,dc=org

dn: uid=mailadmin,ou=Users,dc=dreampixel

und aus:

dn: ou=addr,uid=mailadmin,ou=Users,dc=dreampixel

gemacht. Also ist addr ein Container unterhalb des mailadmins, richtig? Und wie müßten nun die access - Regeln aussehen?

Ist das alles kompliziert :-) Um nun das alles noch kompilierter zu gestalten, vermute ich, aufgrund des Eintrages für uid=mailadmin, daß du gar keine access Regeln, beschrieben als acl, definieren kannst, da, wenigstens der Zugriff auf uid=mailadmin durch 'aci' geregelt wird, also die access Regeln im Eintrag enthalten sind. Wenn meine Aussage nicht richtig ist, du also keine aci's in den Subeinträgen hast, dann sieht der Regelsatz so aus access to dn.subtree=^[^,]+,ou=addr,uid=mailadmin,ou=Users,dc=dreampixel attrs=entry,children by users write Das ist die simpelste Form und gestattet authentifizierten Users Einträge unterhalb ou=addr ... anzulegen und zu verändern. Wenn das zu offfen ist, mußt du für jeden User noch einen Container anlegen cn=xyz,ou=addr,uid=mailadmin,ou=users,dc=dreampixel access to dn.regex="^[^,]+,cn=([^,]+),ou=addr,uid=mailadmin,ou=users,dc=dreampixel$" attrs=entry,children by set.exact="this/cn & user/uid" write klingt kompliziertes als es ist, es besagt nur, das der expandierende Wert für cn identisch ist mit dem authentifizierten User und der uid.

...

Sorry für diese Verwirrung *schäm*

Ist ja nicht dein Verschulden, sondern der komplizierten Gestaltung von OX. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Dieter Kluenter

4 Nov 4 Nov

13:29

Hallo Sven, Sven writes:

...

Hallo zusammen,

ich habe ein Problem mit meinem OpenXchange-Server da ich denke das es sich um ein LDAP-Problem handelt versuche ich's einfach mal in dieser Liste. Zunächst habe ich ein kleines Verständnisproblem.

Im Rahmen der OX-Installation habe ich in meiner slapd.conf unter anderem folgenden Eintrag eingetragen:

access to dn="ou=addr,uid=(.*),ou=Users,dc=dreampixel" attr=uid,objectClass,entry filter=(objectClass=OXUserObject) by self write by dn="uid=$1,ou=Users,dc=dreampixel" write by * none

Mit der ersten Zeile habe ich so meine Probleme wie man sie liest. Es gibt die Container ou=addr und ou=Users welche beide auf der gleichen Ebene unter dc=dreampixel liegen. Aber was bedeutet nun

Noch einen Nachtrag. Wenn das ein globales Adressbuch sein, soll das jeder beschreiben darf. dann kann auch folgende Regel funktionieren. access to dn.subtree=ou=addr,dc=dreampixel attrs=children by users write Authentifizierte User dürfen also neue Einträge unterhalb von ou=addr,dc=dreampixel anlegen und dementsprechend auch lesen. Damit da nicht zuviel Unsinn passiert, kann man die erlaubten Attribute der Einträge auf eine Objektklasse beschränken: access to dn.subtree=ou=addr,dc=dreampixel attrs=children,entry,@inetOrgPerson by users write Vorausgesetzt, alle Adressbucheinträge sollen der Objektklasse inetOrgPerson angehören. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

7113

Age (days ago)

7120

Last active (days ago)

List overview

Download

8 comments

3 participants

participants (3)

Dieter Kluenter
Sven
Sven Gehr