nit*_*ins 5 linux openldap ldap access-control-list
应该在slapd.conf 中加入什么ACL 以允许用户更改他们的密码。我们现在拥有默认 ACL,仅允许 rootdn 修改权限,同时允许包括匿名在内的所有人阅读。
vor*_*aq7 10
尝试一些类似的东西:
access to attrs=userPassword
by self write
by anonymous auth
by users none
access to * by * read
(请注意,出于安全原因,您不希望每个人都能够读取该UserPassword属性——这将允许人们浏览您的影子/加密密码并轻松地针对它们运行破解程序。)
编辑以添加对上述access to attrs=userPasswordACL 的请求解释
by self write
登录用户可以编写(更改)他们自己的 userPassword 属性——这是让您更改密码的原因。
by anonymous auth
匿名用户(匿名绑定到目录的用户 - 即不指定 DN 和密码的用户)可以仅出于身份验证的目的访问 userPassword(他们无法出于任何其他目的访问它,例如搜索或浏览)。
by users none
这将拒绝登录用户访问其他任何人的 userPassword 属性。理论上这也可以auth,但通常(至少在我的环境中)登录用户不需要作为另一个用户进行身份验证/绑定。
| 归档时间: |
|
| 查看次数: |
8355 次 |
| 最近记录: |