Hallo zusammen. Ich habe so ein paar Probleme mit Ldap. Eins davon ist die ACL Liste. Hier meine config Files: /etc/openldap/slapd.conf # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. # include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/openldap.schema pidfile /var/run/slapd.pid argsfile /var/run/slapd.args # Loglevel einrichten loglevel -1 ### SSL Certifikate laden ### #TLSCertificateFile /etc/openldap/server.pem #TLSCertificateKeyFile /etc/openldap/server.pem #TLSCACertificateFile /etc/openldap/server.pem # Limit number of search results to prevent trolling of directory # by spammers, etc. #sizelimit 10 ####################################################################### # ldbm database definitions ####################################################################### database ldbm suffix "dc=gera,dc=intern,dc=de" # Uncomment these only for the initial load, then comment them back # out and restart slapd. rootdn "cn=root,dc=gera,dc=intern,dc=de" rootpw geheim # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain index objectClass,uid,uidNumber,gidNumber,memberUid eq #index cn,surname,givenname eq,subinitial # include der Access Liste für das Durchsuchen des Ldap Baumes include /etc/openldap/slapd.access # Authentifizierte Benutzer dürfen lesen andere sehen nichts # access to * by dn="cn=Admin,ou=Sysusers,ou=NSS,dc=gera,dc=ead-intern,dc=de" #write # Ende der ldap Konfigurationsfiles /etc/openldap/slpad.conf Die ACL Controll Liste: /etc/openldap/slapd.access # Authentifizierte Benutzer dürfen lesen andere sehen nichts # Bei gq muß der folgende dn als binddn eingetragen sein, und als bindpw das # Passwort eingetragen sein. Dann funktioniert es auch access to * by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=gera,dc=intern,dc=de" write by self write by * read -------------------------------------------------------------------------------------- Wenn ich die Regel wie oben anwende habe ich Zugriff auf den DIT mit dem gq. Aber wenn ich als letzte <who> Angabe "by * none" schreibe habe ich keinen Zugriff mehr. Ich hatte gedacht das die Regeln von oben nach unten abgearbeit werden und die erste die Zutrifft, dann auch gilt. Dann sollte doch der "dn=<> write" auch einen Vollzugriff haben, oder verstehe ich da was falsch. --------------------------------------------------------------------------------------- Wo liegen die Unterschiede von uid und cn? Hier ein kleiner Auszug aus der ldif Datei: dn: dc=gera,dc=intern,dc=de objectClass: dcObject objectClass: Organization o: Gera dc: gera dn: ou=Mitarbeiter,dc=gera,dc=intern,dc=de objectClass: organizationalUnit ou: Mitarbeiter dn: ou=NSS,dc=gera,dc=intern,dc=de objectClass: organizationalUnit ou: NSS userPassword: test dn: ou=Sysusers,ou=NSS,dc=gera,dc=intern,dc=de objectClass: organizationalUnit ou: Sysusers userPassword: test dn: uid=Admin,ou=Sysusers,ou=NSS,dc=gera,dc=intern,dc=de uid: Admin cn: Admin objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: geheim uidNumber: 0 gidNumber: 0 homeDirectory: /etc/openldap Mein System ist: SuSE 8.1 CU Georg