Re: LDAP-Zugriffsrechte
Hallo,
On Tue, 13 Apr 2004 11:11:27 +0200
Udo Mueller <info@cs-ol.de> wrote:
> * Christoph Pleger schrieb [13-04-04 10:26]:
> >
> > Ich habe ein Problem mit meiner LDAP-Konfiguration, die ich zur
> > Benutzerauthentifizierung benutze: Jeder kann sich mit Hilfe von
> > "getent passwd <Benutzername>" das verschlüsselte Kennwort irgend
> > eines anderen Benutzers anschauen, was natürlich nicht erwünscht
> > ist.
> Wichtig ist der none Eintrag:
>
> access to attribute=userPassword
> by dn="cn=admin,dc=cs-ol,dc=de" write
> by anonymous auth
> by self write
> by * none
Der none-Eintrag war - bis kurz bevor ich meine erste Mail zu dem
Problem abgeschickt habe - schon vorhanden, aber ich habe ihn dann
gelöscht, weil ich auf einer Webseite gelesen habe, dass jede "access to
..."-Anweisung implizit mit der Zeile "by * none" endet. Ich habe die
Zeile jetzt wieder reingenommen und die Reihenfolge der Einträge so
vertauscht, dass sie deinem Beispiel entspricht; aber das Problem wurde
dadurch nicht gelöst.
> Und jemand, der schreibende Rechte hat, hat gleichzeitig auch lesende.
Ach so. Dann muss ich das also nicht mehr explizit hinschreiben.
> Ausserdem ist deine Domain nicht vollständig.
Meine "Domain" ist schon vollständig. Ich habe als Domain nämlich
absichtlich nur einen Rechnernamen genommen, da meine kleine
LDAP-Testumgebung nur aus einem einzigen Rechner besteht, der
gleichzeitig LDAP-Server und LDAP-Client ist. Dass der "distinguished
name" nur eine einzige "domain component" enthält, sollte doch kein
Problem sein, oder? Alles andere scheint ja auch wie gewünscht zu
funktionieren, nur die von allen lesbaren verschlüsselten Kennwörter
stören.
Christoph
Reply to: