openldap 的 ACL 允许一个组在不同的组织单位(OU)之间移动一个特定的 DN

openldap 的 ACL 允许一个组在不同的组织单位(OU)之间移动一个特定的 DN

我似乎做不到这一点。我有一群用户在同一个组中,cn=noc,ou=groups,dc=company,dc=com他们应该能够将列表在ou=internalLists,ou=mail,ou=service,dc=company,dc=com和之间移动ou=externalLists,ou=mail,ou=service,dc=company,dc=com

该列表的 DN 是:

cn=mylist,ou=internalLists,ou=mail,ou=service,dc=company,dc=com

这是我对子树的 ACL ou=mail,ou=service,dc=company,dc=com

access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
       by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
       by * break


access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
        by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
        by * break


access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
        by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
        by * read

上述 ACL 有效,但它们也为组“noc”提供了移动其他列表的权限。我只想将其限制为一个列表 (cn=mylist)。因此,我尝试了以下操作:

access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com"
       filter="(cn=mylist)"
           by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
           by * break


access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com"
        filter="(cn=mylist)"
            by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write
            by * break


access to dn.subtree="ou=mail,ou=service,dc=company,dc=com"
        by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write
        by * read

这给了我“访问权限不足”的错误。我做错了什么?

相关内容