<Limit> по ldap-группе

0

0

Apache 2.2

Есть директория с включенный WebDav и аутентификацией в ldap. Задача разделить пользователей на группу только для чтения и группу с полными правами. И конечно, если пользователя ни в той ни в другой группе нет, отказать в доступе. Вот что у меня вышло:

Dav on
Options FollowSymLinks Indexes
AllowOverride None
Order Deny,Allow
Deny From All
AuthName "secure"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPUrl ldap://127.0.0.1/ou=Users,dc=example,dc=com?uid
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
Require ldap-group cn=read,ou=Groups,dc=example,dc=com
<Limit PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=full,ou=Groups,dc=example,dc=com
</Limit>
Satisfy Any

Получается совсем не то что я хочу. У группы full вобще нет доступа, а группа read может писать. ЧЯДНТ?

Ссылка

←	Как применить CSS-правила, а потом отменить?

Flex, дизайн интерфейсов

→

Попробуй заменить

Require ldap-group cn=read,ou=Groups,dc=example,dc=com

на нечто вроде этого

<LimitExcept PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK> 
Require ldap-group cn=read,ou=Groups,dc=example,dc=com 
</LimitExcept>

nnz ★★★★
(10.06.10 16:29:31 MSD)

Ссылка

И да, ихмо

Order Deny,Allow 
Deny From All

лучше заменить на

Require valid-user

nnz ★★★★
(10.06.10 16:34:55 MSD)

Ответ на: комментарий от nnz 10.06.10 16:34:55 MSD

Require valid-user
<LimitExcept PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=Sf_read,ou=Groups,dc=totan,dc=ru
</LimitExcept>
<Limit PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require ldap-group cn=Shared_files,ou=Groups,dc=totan,dc=ru
</Limit>
Satisfy Any

Теперь пускает любого пользователя.

oljas
(10.06.10 16:46:56 MSD) автор топика