- 论坛徽章:
- 0
|
通过最近对LDAP的研究,特别是两位好人的帮忙,对OpenLDAP+Samba模拟域管理器有了一个比较清晰的整体认识。
但对LDAP的access的权限设置还是有些不清楚,虽然我看了OpenLDAP的官方手册中的相关部分。问题是对分组的权限设置方面的。
如图,有两个分组,windwos客户端用LDAP中的用户登录,首先需要让该用户拥有相应权限,就是将LDAP中的用户添加到windows上的用户管理中,这时需要输入LDAP的授权用户与密码,一般是root与其密码,现在不想通过root来授权,而是想让分组中的一个用户充当组管理员,组内的用户权限有组管理员来管理。
我设置的/etc/opanldap/slapd.conf的相关内容是:
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to dn="cn=Domain1,ou=Groups,dc=easy,dc=com"
by dn="uid=user001,ou=Users,dc=easy,dc=com" write
by self write
by * none
access to dn="cn=Domain2,ou=Groups,dc=easy,dc=com"
by dn="uid=user003,ou=Users,dc=easy,dc=com" write
by self write
by * none
access to *
by * read
经过上面的设置,做实验失败,失败的情况是:
用户组1内的用户加入windows用户管理时提示输入授权用户与密码,这时用任何LDAP用户进行授权都可以,而不是我希望的仅仅user001有权。
[ 本帖最后由 戏园子 于 2007-7-9 13:03 编辑 ] |
|