Имеется LDAP-каталог в OpenLDAP. В нём лежат линусковые пользователи и группы, там же атрибуты samba. Сегодня озадачился нормальной настройкой прав. Получилось примерно вот так:
to dn.base="dc=lor"
by ssf=128 users read
by * none
to dn.one="dc=lor" filter=(objectClass=organizationalUnit)
by ssf=128 users read
by * none
to dn.one="dc=lor" filter=(objectClass=simpleSecurityObject) attrs=userPassword
by ssf=128 anonymous auth
by * none
to dn.one="dc=lor" filter=(objectClass=simpleSecurityObject)
by ssf=128 self read
by * none
to dn.one="ou=people,dc=lor" attrs=entry,objectClass,uid,uidNumber,gidNumber,gecos,cn,homeDirectory,loginShell
by ssf=128 dn="cn=unauthenticated,dc=lor" read
by ssf=128 self read
by * none
to dn.one="ou=people,dc=lor" attrs=userPassword
by ssf=128 self write
by ssf=128 anonymous auth
by * none
to dn.one="ou=people,dc=lor" attrs=shadowLastChange
by ssf=128 self write
by * none
to dn.one="ou=groups,dc=lor" attrs=entry,objectClass,cn,gidNumber,memberUid,uniqueMember
by ssf=128 dn="cn=unauthenticated,dc=lor" read
by * none
to dn.one="ou=computers,dc=lor" attrs=entry,objectClass,uid,uidNumber,gidNumber,gecos,cn,homeDirectory,loginShell
by ssf=128 dn="cn=unauthenticated,dc=lor" read
by * none
to *
by * none
- Я вообще не переборщил с правилами? А то во всех руководствах обычно пишут ACL всего в пару пунктов...
- Как у OpenLDAP с производительностью при обработке большого количества правил? (если ответ на предыдущий пункт - да =))
- К каким узлам и атрибутам нужно давать доступ самбе?