当我运行搜索时例如。
ldapsearch -h XX.XX.XX.XX -b 'dc=mycompany,dc=com' -D 'uid=lama,ou=people,mycompany,dc=com' -w YYYY
我希望查看我的群组成员身份,但不允许查看群组的其他成员。我能够创建 ACL,允许经过身份验证的用户查看某个群组的所有群组成员。
olcAccess: {2}to dn="cn=somegroup,ou=groups,mycompany,dc=com"
by users read
by * none
我需要类似 selfread 的功能,当成员 attrs 的值等于 binddn 时才返回结果。可以吗?谢谢
答案1
您指的是下面这样的东西吗?
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=entry by users read
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=member by dnattr=member selfread
答案2
这应该有效:
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=entry,objectClass
by users read
by * none
olcAccess: to dn.regex="cn=[^,]+,ou=groups,dc=example,dc=com" attrs=member
by dnattr=member selfread
by * none