OpenLDAP:如何从 JXplorer 等工具隐藏配置目录

OpenLDAP:如何从 JXplorer 等工具隐藏配置目录

我正在尝试设置 OpenLDAP 服务器以进行测试和演示 - 我的团队需要为我们的产品添加 LDAP 连接,因此我们希望拥有一个可以进行身份​​验证的 LDAP 服务器。不幸的是,仅仅开发和测试针对 LDAP 人员和组的身份验证和授权是不够的。我们还需要能够向潜在客户展示这种能力。在这些演示中,我们需要能够在浏览器(如 JXplorer)中显示 LDAP 树。我的问题是,由于配置数据库和任何用户数据库都必须以不同的命名上下文开头,因此在建立连接时,JXplorer(或任何其他浏览器)中会出现两个具有不同域的条目。在这种情况下,我该如何隐藏配置数据库?我一直在考虑编辑访问控制列表,但我见过的大多数示例都只涉及拒绝访问特定属性...

答案1

dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by * none  

只允许对数据库进行任何操作olcRootDN。永远不会受到访问限制。olcDatabase={0}config,cn=configcn=configolcRootDN

OpenLDAP 关于 ACL 的文档

有两个特殊的伪属性 entry 和 children。要读取(并因此返回)目标条目,主体必须具有对目标条目属性的读取权限。要执行搜索,主体必须具有对搜索库的条目属性的搜索权限。要添加或删除条目,主体必须具有对条目的条目属性的写入权限,并且必须具有对条目父项的子项属性的写入权限。要重命名条目,主体必须具有对条目的条目属性的写入权限,并且具有对旧父项和新父项的子项属性的写入权限。本节末尾的完整示例应该有助于澄清问题。

最后,还有一个特殊的条目选择器 *,用于选择任何条目。当没有提供其他选择器时使用它。它相当于“dn=.*”

答案2

只需在 JXplorer 连接对话框中填写要演示的数据库的 Base DN 字段,并将其保存为模板。然后 JXplorer 将仅显示该 Base DN 的 LDAP 树。

相关内容