openldap 组成员 ACL

openldap 组成员 ACL

当我运行搜索时例如。

ldapsearch -h XX.XX.XX.XX -b 'dc=mycompany,dc=com' -D 'uid=lama,ou=people,mycompany,dc=com' -w YYYY 

我希望查看我的群组成员身份,但不允许查看群组的其他成员。我能够创建 ACL,允许经过身份验证的用户查看某个群组的所有群组成员。

olcAccess: {2}to dn="cn=somegroup,ou=groups,mycompany,dc=com"
  by users read
  by * none

我需要类似 selfread 的功能,当成员 attrs 的值等于 binddn 时才返回结果。可以吗?谢谢

答案1

您指的是下面这样的东西吗?

olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=entry by users read
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=member by dnattr=member selfread

答案2

这应该有效:

olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=entry,objectClass
  by users read
  by * none
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=member
  by dnattr=member selfread
  by * none

相关内容