我尝试配置 389ds LDAP 服务器。我只需要 389ds LDAP 服务器用于测试,我不配置任何生产环境。我用389ds/dirsrv泊坞窗图像。我使用 ldapmodify 命令添加了 user01 用户。问题是user1没有获得任何权限。 user01 无法使用 ldapsearch commnad。
cn=目录管理员:
ldapsearch -x -H ldap://localhost:3389 -D "cn=Directory Manager" -w dupa -LLL -b "cn=user01,ou=People,dc=example,dc=org" -s base objectclass=*
dn: cn=user01,ou=People,dc=example,dc=org
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: shadowAccount
objectClass: posixAccount
objectClass: person
objectClass: top
cn: user01
gidNumber: 1000
homeDirectory: /home/user01
sn: Bar1
uid: user01
uidNumber: 1000
shadowLastChange: 19711
userPassword:: e1BCS0RGMi1TSEE1MTJ9MTAwMDAkR0NySUE4TXRkdGhtTlhMUHF2dmErMG1iQ3p
Hd2FDWDUkZUVtZnRRd2o3MG8xeEl5bFNVRFJIaEJHTkdxcDVBVWIrTjdEOFF5RUFjZGpxNFpMa2Z3
dm45MElrK1hFc3A3eGxVZDEvUGkvVEpKbThTYjh5eEN1alE9PQ==
cn=user01,ou=People,dc=example,dc=org:
ldapsearch -x -H ldap://localhost:3389 -D "cn=user01,ou=People,dc=example,dc=org" -w password1 -b "cn=user01,ou=People,dc=example,dc=org" -s base objectclass=*
# extended LDIF
#
# LDAPv3
# base <cn=user01,ou=People,dc=example,dc=org> with scope baseObject
# filter: objectclass=*
# requesting: ALL
#
# search result
search: 2
result: 0 Success
# numResponses: 1
我希望 user01 能够看到自己。如何修复它?
答案1
您可能需要添加使用相应 aci 读取用户的权限。例如:
创建文件:modify_acis.ldif
dn: ou=people,dc=your,dc=server,dc=com
changetype: modify
add: aci
aci: (targetattr="*")(version 3.0; acl "Self Read Access"; allow (read, search, compare) userdn="ldap:///self";)
申请:
ldapmodify -x -D "cn=Directory Manager" -W -f modify_acis.ldif
读什么等等,你应该仔细考虑。例如,密码散列不应该是可读的,除非用户应该获得重置其 pw 的权限。