Hi,
Manfred Schmid
der Schalter -a ist hier nicht nötig, nur bei echtem 'alias dereferencing' und das gibt es in openldap-2.1.x nicht, da das darunter liegende Database Management System BerkeleyDB-4.1 dann nicht stabil arbeitet. Erst in openldap-2.2.x und BerkeleyDB-4.2.52 geht echtes alias dereferencing. Es macht sogar richtig Spaß. Ich habe in meiner Testumgebung mal 2.000 Aliases erstellt, die Lesezeit ist kaum reduziert. Leider, Leider ist bei meiner Umgebung noch kein openldap-2.2x drin ?
Doch sicher, ich habe das gerade auf einer SuSE-7.3 kompiliert. Dazu braucht man - BerkeleyDB-4.2.52 + 2 patches - cyrus-sasl-2.1.16 + - openldap-2.2.5 Damit kein Konflikt mit bestehenden Libraries entsteht, installiere ich alles nach /opt/avci, es kann natürlich jedes Verzeichnis gewählt werden. Die configure Umgebung mit den entsprechenden Preprozessor- und Linker flags, also CPPFLAGS und LDFLAGS, bekanntmachen.
Bei Gruppenzugeörigkeiten geht es doch nur darum, bei einem Authentifizierungsversuch zu prüfen, ob der auch einer bestimmten Gruppe zugehört, damit slapd die entsprechenden Rechte setzen kann. Wen ich es jetzt richtig verstanden habe, dann mache ich das über ACL in slapd.conf !
Ja, oder ACI's.
Und bekomme keinen Verweis auf den eigendlichen Eintrag. Erst ab 2.2 Wen ja, gibts vielleicht einen kurzen auszug aus der slapd.conf ?
Habe ich da noch keine Beispiele gebracht? ,----[ access Regeln ] | access to was auch immer | by group=cn=samba.o=meine firma write | by users read | by anonymous auth stop | | access to group=cn=samba,o=meine firma, | by cn=sambaAdmin,o=meine firma write | by dn.subtree=ou=noch nen gruppe,o=meine firma read `---- [...] Hier noch mal kurz ein Beispiel für einen alias (ab openldap-2.2.x) ,----[ alias Beispiel ] | dn: ou=samba,o=meine firma,c=de | objectclass: organizationalUnit | ou: samba | | dn: uid=franz,ou=samba,o=meine firma,c=de | objectclass: alias | objectclass: extensibleObject | aliasedObjectName: uid=franz,ou=users,o=meine firma,c=de | uid: franz | sn: franz | | dn: uid=franz,ou=users,o=meine firma,c=de | objectclass: posixaccount | objectclass: inetorgperson | uid: franz | sn: franz | usw. `---- Mit dieser Konstruktion kann dann der User Franz sowohl der Gruppe 'Samba' also auch der Gruppe proFTP zugeteilt werden. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de