求救:OpenLDAP中的访问控制关于正则表达式的问题．

Polluxwww

本人在分析openldap过程中，根据有关资料，对访问控制有了一定了解．现遇到有关正则表达式的问题，恳请高手不吝赐教，谢谢！
问题如下：
　　目的：使数据库中所有dn为＂ou=***,……＂的entry能够被他的子孙所读
　　例子：假设目录数据库中的整体结构如下图：
　　　　c=IBM
                 ou=Accounting
                      cn=Bob
                      cn=Tom
                      cn=Rose
                 ou=Product Departmen
                 ou=Management
                 ou=Human Resources
       如果我以cn=Bob的身份登陆，便可以读＂ou=Accounting＂的信息．
　　于是我在配置文件slapd.conf中设置为：
　　……
　　access   to    dn.regex="^ou=([^,]+),c=IBM"
                    by   dn.regex="ou=$0,c=IBM"   read
                    by    *   none    break
      access    to    *
                    by    self      write
                    by    annonymous     auth
                    by    *    none
       但不能达到目的．
　　通过LDAPBrowser，以用户cn=Bob登陆，查看不到任何信息．


　　另附：
　　如果希望每个父结点（entry）都能够具有对其子树中所有子孙的写权限，可在配置文件slapd.conf中输入设置：
　　access   to   dn.regex="^.*,ou=([^,]+),c=IBM"
                   by   dn.regex="^ou=$1,c=IBM"    write
                   by   *    none   break
      access   to   *
                   by   self    write
                   by   annonymous     auth
                   by   *   none
      然后启动服务进程slapd,通过LDAPBrowser,以ou=Accounting的身份登陆，可以看到并修改ou=Accounting整个子树，而看不到其他的ou=***．


现在我的目的是希望：
　　任何以＂cn=***＂身份登陆的用户，只能看到本单位的信息和修改自己的信息．而看不到其他任何人和单位的信息，即他的视图应为：
　　c=IBM
            ou=Accounting
                   cn=***
　　任何以＂ou=***＂身份登陆的用户，可以看到并修改他整个子树的信息，即他的视图应为：(以ou=Accounting为例)
　　c=IBM
            ou=Accounting
                   cn=Bob
                   cn=Tom
                   cn=Rose
现后者问题已经解决，但前者，也就是允许任何ou=***的目录项被他的子孙以读的权限进行访问，还没有解决，恳求高手赐教．
　　谢谢．

sally_he

请问by   dn.regex="ou=$0,c=IBM"   read
中的$0是什么意思

Polluxwww

这个地方牵涉到几个函数：
regcomp()
regexec()
parse_acl()
access_allowed()
我简单叙述一下：
在parse_acl（）中解析配置文件slapd.conf中的访问策略语句，当读到＂^ou=([^,]+),c=IBM$"时，调用函数regcomp（）进行正则表达式编译，把编译结果保存在一个regex_t的数据结构（全局变量）当中，在regcomp（）中有一个参数是pmatch[]，它是一个数组，元素为regmatch_t｛rm_so,rm_eo｝.pmatch[]保存的是正则表达式的开始和终结位置，在例中pmatch[0]保存的就是匹配
([^,]+)的位置，例如＂ou=Accounting,c=IBM"是匹配的，则pmatch[0]保存的值为（４，１４）

在访问权限判别函数access_allowed()函数中，调用regexec()函数来进行模式匹配，就要用到参数pmatch[]，因为可能有多处需要进行匹配（本例中只有一处，pmathc[0]），在配置文件中输入访问策略语句时的语法就应当写为＂$0＂

在后面的例子中＂^.*,ou=([^,]+),c=IBM$"有两处正则表达式的匹配，所以有pmatch[0]和pmatch[1]，而我们只要求匹配一处，即pmatch[1]，所以后面例子的访问策略语句为＂by  dn.regex="^ou=$1,c=IBM$"

sally_he

access   to    dn.regex="^ou=([^,]+),c=IBM"
                   by   dn.regex=".*,ou=$1,c=IBM"   read
                   by    *   none    break
     access    to    *
                   by    self      write
                   by    annonymous     auth
                   by    *    none

py

对ACL很感兴趣，我帮你置顶，让大家都来试试吧。

py

以前没见过“$0”这样的写法，应该是从$1开始，并且是用()中的内容做的替换。
楼主看的是哪里的资料？

Polluxwww

谢谢大家支持,回帖.
今天这个问题已经解决了.
正确写法应为:
access to dn.regex="^ou=([^,]+),c=IBM"
            by dn.regex="ou=$1,c=IBN"  read
            by *none break
……

或者更加通用一点，可写为：
access to dn.regex="^ou=([^,]+),(.*)$"
            by dn.regex="ou=$1,$2"  read
            by * none
……

出错的原因是因为我忽略了＂＾＂也是正则表达式，$0存储的是＂＾＂，而不是ou="***"中的内容．

第四楼的版友给的答案也是对的．
另外感谢二楼版友的提问，让我留心到了自己犯的错误．
五楼的版友我不赞同你的观点，原因上面已经说明白，可以一起讨论呀！
呵呵
这个问题困扰我很久了，如鲠在喉，没想到一到这里发了张贴突然就想通了，
我以后会常来的．

py

匹配的变量范围是$1到$9
匹配只对括号中的内容有效.
正则表达式是通用的，在perl、vi里也是一样
举个例子：
# assume supplied dn ou=something,cn=my name,dc=example,dc=com
# then $1 = my name at end of match below
# because first expression does not have ()
access to dn="ou=[^,]+,cn=([^,]+),dc=example,dc=com"
by dn.exact="cn=$1,dc=example,dc=com"

楼主如果有兴趣可以试试看

Polluxwww

谢谢PV兄.
你说的是对的.
关于正则表达式我也是刚看不到一个月,阅读了不少资料,未免有囫囵吞枣之嫌,
感谢你的指正.
顺便再问个问题:
那$0到底有什么用？？
它指代什么？？
因为我在分析OpenLDAP源代码的函数string_expand()中发现：
它允许$0-9的出现，即允许存在，那他如果存在，代表什么呢？？？

py

string_expand()函数的问题我不太清楚，一直在用openldap，但对internal的东西没有什么了解。你的问题可以到C版上问问看，以前我的一个UTF8的问题就在那里解决了