Кажется, я не могу сделать это правильно. У меня есть несколько пользователей в группе, cn=noc,ou=groups,dc=company,dc=com
, которые должны иметь возможность перемещать список ou=internalLists,ou=mail,ou=service,dc=company,dc=com
между ou=externalLists,ou=mail,ou=service,dc=company,dc=com
.
DN для этого списка:
cn=mylist,ou=internalLists,ou=mail,ou=service,dc=company,dc=com
Вот ACL-списки, которые у меня есть для ou=mail,ou=service,dc=company,dc=com
поддерева:
access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
by * read
Вышеуказанные ACL работают, но они также дают группе 'noc' доступ для перемещения других списков. Я просто хочу ограничить это только одним списком (cn=mylist). Поэтому я попробовал следующее:
access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
filter="(cn=mylist)"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
filter="(cn=mylist)"
by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
by * break
access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
by * read
Это дает мне ошибку «Недостаточно прав доступа». Что я делаю не так?