.png)
저는 AWS EC2를 사용하여 Linux 인스턴스에 LDAP 서버를 구성해 왔습니다. 지금까지 LDAP와 phpLDAPadmin이 함께 작동하도록 성공적으로 설정했습니다.
사용자 및 그룹 "조직 단위"를 만들었습니다. 해당 "OU"에 사용자와 그룹을 추가했습니다. 이제 "그룹"의 "사용자" 구성원이 내 LDAP 트리의 특정 부분에 대한 그랜드 액세스를 원합니다. 지금까지 구성을 못했네요...
내 LDAP 트리는 다음과 같습니다.
+--> dc=www,dc=website,dc=com (3)
---> cn=admin
+--> ou=groups (4)
| ---> cn=admin_users
| ---> cn=app1_users
| ---> cn=app2_users
| ---> cn=basic_users
+--> ou=users (3)
| ---> cn=user1
| ---> cn=user2
| ---> cn=user3
"app1_users"의 "memberUid" 목록에 user1 + user2를 추가하고 "app2_users"의 "memberUid" 목록에 user2 + user3을 추가했다고 가정해 보겠습니다.
나는 원해요:
- cn=admin은 트리에 대한 모든 권한/액세스 권한을 갖습니다.
- app1_users는 (phpLDAPadmin에) 연결하고 그룹 자체에 새 구성원을 추가할 수 있습니다.
- app2_users의 사용자에게도 동일
연결된 사용자(phpLDAPadmin)는 자신이 속한 트리(및 하위 하위 트리)만 볼 수 있습니다.
제가 시도한 ACI는 다음과 같습니다(그러나 분명히 작동하지 않았습니다).
access to attrs=shadowLastChange
by self write
by dn="cn=admin,dc=www,dc=website,dc=com" write
by * read
access to attrs=userPassword
by self write
by dn="cn=admin,dc=www,dc=website,dc=com" write
by anonymous auth by * none
access to dn.base=""
by * read
access to dn.subtree="cn=app1_users,ou=groups,dc=www,dc=website,dc=com"
by group.base="cn=app1_users,dc=www,dc=website,dc=com" write
by dn.base="cn=admin,dc=www,dc=website,dc=com" write
by * none
access to dn.subtree="cn=app2_users,ou=groups,dc=www,dc=website,dc=com"
by group.base="cn=app2_users,dc=www,dc=website,dc=com" write
by dn.base="cn=admin,dc=www,dc=website,dc=com" write
by * none
access to *
by self write
by dn="cn=admin,dc=www,dc=website,dc=com" write
by * read
내 구성에 문제가 있습니까?
답변1
나에게는 그룹 멤버십에 대한 다음 구문이 작동합니다.
access to dn.subtree="cn=app2_users,ou=groups,dc=www,dc=website,dc=com"
by group/groupOfNames/member.exact="cn=app2_users,dc=www,dc=website,dc=com" write
by dn.base="cn=admin,dc=www,dc=website,dc=com" write
by * none
어떻게 작동하는지 모르기 때문에 이것이 귀하의 문제를 해결할 것이라고 확신하지 못합니다 phpLDAPadmin.
phpLDAPadmin자체 액세스 제어 규칙이 있는 경우 해당 규칙도 수정해야 합니다.