%20%E9%96%93%E3%81%A7%E7%89%B9%E5%AE%9A%E3%81%AE%20DN%20%E3%82%92%E7%A7%BB%E5%8B%95%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%20openldap%20%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%81%AE%20ACL.png)
うまくいかないようです。グループ には多数のユーザーがおり、からcn=noc,ou=groups,dc=company,dc=com
の間でリストを移動できるはずです。ou=internalLists,ou=mail,ou=service,dc=company,dc=com
ou=externalLists,ou=mail,ou=service,dc=company,dc=com
そのリストの DN は次のとおりです。
cn=mylist,ou=internalLists,ou=mail,ou=service,dc=company,dc=com
ou=mail,ou=service,dc=company,dc=com
これはサブツリーに対して持っている ACL です:
access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
by * read
上記の ACL は機能しますが、グループ 'noc' に他のリストを移動するためのアクセス権も付与します。これを 1 つのリスト (cn=mylist) だけに制限したいのです。そこで、次の操作を試しました。
access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
filter="(cn=mylist)"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
filter="(cn=mylist)"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
by * read
「アクセス権が不十分です」というエラーが表示されます。何が間違っているのでしょうか?