2014-07-21 6 views
0

OpenDj에서 "ismemberof"에 문제가 있습니다."Ismemberof"가있는 ldapsearch OpenDJ | Bypass-Acl없이

"isMemberof"- 쿼리를 수행 할 수있는 OpenDj에서 사용자를 갖고 싶습니다 (예 : "uid = jdoe, ou = people, dc = example, dc = com"). 문제는 기본적으로 OpenDj의 User-DN은 "isMemberOf"-Querys를 수행 할 수 없습니다.

결과 쇼의 :

ldapsearch -h host -p port -D "uid=jdoe,ou=people,dc=example,dc=com" -W "(isMemberOf=cn=cn=group1,ou=groups,dc=example,dc=com)" 

    extended LDIF 

    LDAPv3 
    base <ou=people,dc=example,dc=com> with scope subtree> 
    filter:(isMemberOf=cn=group1,ou=groups,dc=example,dc=com) 
    requesting: ALL 


    search result 

    search: 2 

    result: 0 Success 

    numResponses: 1 

내가 그룹의 쿼리 쇼의 모든 구성원보다 "바이 패스 ACL"권한, 사용자-DN을 제공합니다. 그러나 "bypass-acl"권한은 User-DN에게 "수정"권한도 부여합니다.

"isMemberOf"- 쿼리 만 수행 할 수있는 사용자 DN이 필요합니다. 나는 이것을 ACI로 시도했다.

cat test.ldif 

    dn: uid=jdoe,ou=people,dc=example,dc=com 

    changetype: modify 

    add: aci 

    aci: (target="ldap:///\*,dc=example,dc=com) (targetattr = "\*")(version 3.0;acl "Search and >Read "; allow (search, write)(userdn = "ldap:///uid=jdoe,ou=people,dc=example,dc=com");) 

성공적으로 실패했다.

누군가 아이디어가 있습니까? :/

안부,가 jdoe가 검색 할 권한이없는 것 같습니다

Ironchunk

답변

1

는/제대로 조직을 읽습니다. 그러나 항목을 가져 오지 못한 자세한 이유는 logs/access 파일에 공개 될 수 있습니다. 검색 결과 로그 메시지를 확인하여 정보가 있는지 확인하십시오.

dc = example, dc = com 수준에서 ACI를 넣으려고 했습니까? 일반적으로 사용자 고유의 ACI를 사용자 항목에 넣지 않고 ACI가 적용되는 분기에 배치합니다.

ACI : (! targetattr =의 "userpassword") (버전 3.0, ACL "검색과 암호를 제외하고 UID = jdoe에 대한 읽기";, 검색 (수 읽기, 비교) 은 USERDN = "LDAP : ///UID = jdoe와, OU = 사람, dc = example, dc = com을 ")

감사합니다,

루도빅

+0

안녕, 답변 주셔서 감사합니다. 나는 당신의 aci를 시도했지만, 사용자 "jdoe"로 Group1에서 "isMemberOf"를 시도하면 결과는 아무 것도 보여주지 않습니다. :( – Ironchunk