#ldap #openldap
Вопрос:
Я хотел бы ограничить пользователей привязки LDAP, чтобы они имели доступ только к тому, что абсолютно необходимо.
Например, у меня есть пользователь LDAP, который используется для привязки к определенному приложению.
cn=app1,ou=привязка учетных записей,dc=пример,dc=сеть»
Пользователь привязки LDAP должен иметь возможность считывать только определенные атрибуты для пользователей, которым необходим доступ к приложению, даже если они находятся в разных подразделениях.
Следующие пользовательские правила доступа обеспечивают желаемый результат.
access to dn.exact="cn=bob,ou=users,dc=example,dc=net" attrs=uid,objectClass,entry by dn="cn=app1,ou=bind-accounts,dc=example,dc=net" read access to dn.exact="cn=alice,ou=users,ou=client1,ou=clients,dc=example,dc=net" attrs=uid,objectClass,entry by dn="cn=app1,ou=bind-accounts,dc=example,dc=net" read У меня есть следующая группа, в которую входят оба пользователя, которым необходим доступ к приложению
dn: cn=app1-access,ou=groups,dc=example,dc=net cn: app1-access objectClass: groupOfNames description: Users permitted to access app1 member: cn=alice,ou=users,ou=client1,ou=clients,dc=example,dc=net member: cn=bob,ou=users,dc=example,dc=net Какое правило доступа будет фильтровать членов группы, чтобы мне не нужно было устанавливать правила для конкретных пользователей?