linux - 带有 "Ismemberof"OpenDJ 的 ldapsearch |没有旁路 Acl

Question

我对 OpenDj 上的“ismemberof”有一些疑问。

我想在 OpenDj 中有一个用户(比如“uid=jdoe,ou=people,dc=example,dc=com”)，它可以做一个“isMemberof”查询。问题是默认情况下，OpenDj 中的用户 DN 无法执行“isMemberOf”查询。

结果显示的:

    ldapsearch -h host -p port -D "uid=jdoe,ou=people,dc=example,dc=com" -W "(isMemberOf=cn=cn=group1,ou=groups,dc=example,dc=com)"

    extended LDIF

    LDAPv3
    base <ou=people,dc=example,dc=com> with scope subtree> 
    filter:(isMemberOf=cn=group1,ou=groups,dc=example,dc=com)
    requesting: ALL


    search result

    search: 2

    result: 0 Success 

    numResponses: 1

如果我为用户 DN 授予“绕过 acl”权限，则查询显示该组的所有成员。但是“bypass-acl”权限也赋予了 User-DN“修改”权限。

我只想拥有一个 User-DN，它只能执行一个“isMemberOf”-Query 而已。我用 ACI 试过这个:

    cat test.ldif 

    dn: uid=jdoe,ou=people,dc=example,dc=com

    changetype: modify

    add: aci

    aci: (target="ldap:///\*,dc=example,dc=com) (targetattr = "\*")(version 3.0;acl "Search and >Read "; allow (search, write)(userdn = "ldap:///uid=jdoe,ou=people,dc=example,dc=com");)

未成功。

有人有想法吗？ :/

最好的问候，

铁 block

Answer 1

看起来 jdoe 没有正确搜索/读取组织的权限。但未获取条目的详细原因可能会在日志/访问文件中披露。检查搜索结果日志消息，看看是否有一些信息。

您是否尝试过将 ACI 置于 dc=example,dc=com 级别？通常，您不会将特定于用户的 ACI 放入用户条目中，而是放入 ACI 适用的分支。

aci: (targetattr!="userPassword")(version 3.0; acl "Search and Read for uid=jdoe except passwords"; allow (read,search,compare) userdn="ldap:///uid=jdoe,ou=people,dc=example,dc=com";)

问候，

卢多维奇