Filter Benutzer in OpenLDAP ACL nach Attribut Wert

Question

Ich möchte den Zugriff auf Benutzer, die Attribut mit bestimmten Wert haben.

Nehmen wir an, ich habe "ou=protected,dc=example,dc=com" Verzeichnis und ich möchte es von jedem Benutzer beschreibbar sein mit canAccessProtected Attribut auf TRUE gesetzt.

So etwas wie

access to dn.subtree="ou=protected,dc=example,dc=com" 
by users/canAccessProtected="TRUE" write 

Ich habe Dokumentation überprüft und war nicht in der Lage, einen Weg zu finden, obwohl ich Sätze und einige andere Dinge nicht begriffen haben.

Kann der Benutzerzugriff über Attributwerte verwaltet werden? Wenn ja, wie?

Answer 1

Erstellen einer dynamischen Gruppe wie: dn:cn=protectedGroup,ou=groups,dc=example,dc=com objectClass:top objectClass:groupOfURLs cn:protectedGroup memberURL: ldap:///ou=users,dc=example,dc=com??sub?(canAccessProtected=TRUE)

aktivieren dynlist in Ihrem slapd.conf wie: overlay dynlist dynlist-attrset groupOfURLs memberURL member

Grant-Schreibzugriff auf die Mitglieder dieser Gruppe: access to dn.subtree="ou=protected,dc=example,dc=com" by set="[cn=protectedGroup,ou=groups,dc=example,dc=com]/member & user" write

notwendig ACL-Regeln hinzufügen, wie Du siehst fit.