Re: LDAP und Adressbuecher
michael loeffler <miloeffler@gmx.de> writes:
[...]
> Ein Gedanke war es, dies in der slapd.conf mit access to
> einzustellen. Aber das kanns ja wohl nicht sein, denn dann müsste
> bei jeder Änderung (z.B. der nächste der darauf Zugriff haben darf)
> die slapd.conf geändert werden.
Es gibt bei openldap auch die sogenannten ACI. Allerdings waren die
in der mir bekannten Version nicht besonders leistungsfähig.
Ansonsten könntest du über ACL eine Gruppe einrichten, die Zugriff auf
dein Addressbuch bekommt. Dann brauchst du nur noch die
entsprechenden Personen in die Gruppe aufnehmen.
Das ganze sieht ungefähr so aus (ungetestet, da aus dem Gedächtnis):
access to dn="o=Adressbuch"
by group/GroupOfNames/member="cn=Erlaubt,o=Rechte" read
by * auth
Ein LDIF-File für die Gruppe:
dn: cn=Erlaubt,o=Rechte
objectclass: GroupOfNames
cn: Erlaubt
member: uid=user1,o=Personen
member: uid=user2,o=Personen
Diese beiden Nutzer dürfen jetzt lesend auf das Adressbuch zugreifen.
Am besten mal in core.schema nachschauen, ob die Attribute von
GroupOfNames stimmen, ich habe hier kein LDAP installiert.
Infos gibt es auch bei unter
http://www.openldap.org/doc/admin20/slapdconfig.html#Access%20Control
und in der slapd.access(5) manual page.
Torsten
Reply to: