LINUX.ORG.RU
решено ФорумAdmin

openldap: ACL для поиска своих атрибутов

 


0

1

Добрый день, пытаюсь настроить dovecot. Накидал такой файл конфига:

uris = ldap://ldap01.domain.ru
debug_level = -1
auth_bind = yes
auth_bind_userdn = uid=%n,ou=People,dc=domain,dc=ru
ldap_version = 3
base = ou=People,dc=domain,dc=ru
deref = never
scope = base
user_filter = (&(objectClass=posixAccount)(mail=%u))
pass_attrs = mail=user,userPassword=password
pass_filter = (&(objectClass=posixAccount)(mail=%u))
default_pass_scheme = CRYPT

Так же накидал такой ACL:

olcAccess: to *
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by * break
olcAccess: to attrs=userPassword
  by self write
  by anonymous auth
olcAccess: to dn.subtree="ou=People,dc=domain,dc=ru"
  by * search
  by self read
olcAccess: to *
  by dn.one="ou=sUsers,dc=domain,dc=ru" read

Но при запросе ничего не возвращается. Ни через dovecot, ни запросом ldapsearch, хотя ошибок в логах нет:

Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 fd=11 ACCEPT from IP=192.168.XXX.XXX:34334 (IP=0.0.0.0:389)
Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 op=0 BIND dn="" method=128
Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 op=0 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 BIND dn="uid=user.name,ou=People,dc=domain" method=128
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 BIND dn="uid=user.name,ou=People,dc=domain" mech=SIMPLE ssf=0
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 BIND anonymous mech=implicit ssf=0
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 BIND dn="" method=128
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SRCH base="ou=People,dc=domain,dc=ru" scope=0 deref=0 filter="(&(objectClass=posixAccount)(mail=user.name@domain.ru))"
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SRCH attr=homeDirectory uidNumber gidNumber
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=

Не могу сообразить как правильно ACL написать:(

страны советов тред
nf_conntrack_tuple_taken 100% cpu
  1. Судя по логу у тебя идёт подключение под анонимусом, а в acl для анонимусов разрешена только аутентификация.
  2. Насколько я в курсе, в openldap идёт чтение olcAccess до первого совпадения, а первым же пунктом у тебя olcAccess: to *, что перекрывает вообще всё, так что, по идее, работает только оно. Располагай сперва правила для доступа к атрибутам, а потом ко всему остальному.
Ivan_qrt ★★★★★
()

Можно же убрать эту белеберду и поставить что дефолтом идет. Проверить работу, а потом уже изголяться. Дефолтная позволяет авторизироваться и читать все атрибуты анонимусам.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
страны советов тред
Admin
nf_conntrack_tuple_taken 100% cpu