LINUX.ORG.RU
ФорумAdmin

ACL на основе DynList'ов не работают

 , dynlist, ,


0

1

Кто-нибудь пробовал использовать динамические группы для задания ACL в OpenLDAP?
Согласно официальной документации:

Dynamic Groups are also supported in Access Control. Please see slapo-dynlist(5) and the Dynamic Lists overlay section.


В объективной же реальности группа со статическими member'ами для задания ACL'ей работает правильно, а группа с динамическими - нет . В логах я вижу серым по чёрному, что openldap сравнивает мой DN только со статически заданными членами группы, а с динамическими даже и не думает сравнивать, он их даже не начинает просматривать
У кого-нибудь получалось сделать dynlist+acl? Может, есть какой-то особый бубен, чтобы оно заработало?
P.S. У меня OpenLDAP 2.4.31, какой-то штатный из поставки Debian 7

★★★★★
DNS records, hostname, hosts — глупые вопросы
Apache за NAT (проблема доступа)

Собственно, о том же самом говорят данные товарищи и даже патч любезно предлагают к непонятно какой версии openldap:
https://drupal.org/node/783870

DRVTiny ★★★★★
() автор топика

На корявом инглише задал вопрос в списке рассылки, авось что скажут дельное.
Параллельно скомпилировал 2.4.39 и загрузил, как видно, не сильно-то нужную схему dyngroup.ldif, но лучше от этого явно не стало.

DRVTiny ★★★★★
() автор топика

Разобрался: в slapd.access(5) сказано на означенную тему: 

For dynamic groups the  attributeType  must
       be  a  subtype of the labeledURI attributeType. Only LDAP URIs of the form ldap:///<base>??<scope>?<filter> will be evaluated in a dynamic group, by
       searching the local server only.
Это значит, что в olcAccess можно и нужно сказать: 
... by group/labeledURIObject/labeledURI=<access>
а не куда более очевидное: 
... by group/groupOfURLs/memberURL=<access>

Всем спасибо, во всём разобрался.

DRVTiny ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
DNS records, hostname, hosts — глупые вопросы
Admin
Apache за NAT (проблема доступа)