LINUX.ORG.RU

<Limit> по ldap-группе


0

0

Apache 2.2

Есть директория с включенный WebDav и аутентификацией в ldap. Задача разделить пользователей на группу только для чтения и группу с полными правами. И конечно, если пользователя ни в той ни в другой группе нет, отказать в доступе. Вот что у меня вышло:

Dav on
Options FollowSymLinks Indexes
AllowOverride None
Order Deny,Allow
Deny From All
AuthName "secure"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPUrl ldap://127.0.0.1/ou=Users,dc=example,dc=com?uid
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
Require ldap-group cn=read,ou=Groups,dc=example,dc=com
<Limit PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=full,ou=Groups,dc=example,dc=com
</Limit>
Satisfy Any

Получается совсем не то что я хочу. У группы full вобще нет доступа, а группа read может писать. ЧЯДНТ?


Попробуй заменить

Require ldap-group cn=read,ou=Groups,dc=example,dc=com
на нечто вроде этого
<LimitExcept PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK> 
Require ldap-group cn=read,ou=Groups,dc=example,dc=com 
</LimitExcept>

nnz ★★★★
()
Ответ на: комментарий от nnz
Require valid-user
<LimitExcept PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=Sf_read,ou=Groups,dc=totan,dc=ru
</LimitExcept>
<Limit PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=Shared_files,ou=Groups,dc=totan,dc=ru
</Limit>
Satisfy Any

Теперь пускает любого пользователя.

oljas
() автор топика
Ответ на: комментарий от oljas

А, ты имеешь в виду, чтобы другие авторизованные пользователи туда не ходили? Тогда да, убери Require valid-user.

nnz ★★★★
()
Ответ на: комментарий от nnz

добавил GET и OPTIONS убрал valid-user и Satisfy Any. И всн заработало! Спасибо!

oljas
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.