[LDAP] Création d'un carnet d'adresse privé pour chaque utilisateur [Résolu]

[montaropdf]

Bonjour,

Je cherche à créer pour chaque utilisateur un carnet d'adresse privé. Les utilisateurs possède une entrée "uid=<user>,ou=Users,dc=<DOMAINE>" avec leurs info de connection non modifiable par eux-même sauf pour le mot de passe. Je pensais créer l'entrée du carnet d'adresse comme suis, "ou=addressbook,uid=<user>,ou=Users,c=<DOMAINE>" et donner accès en lecture/écriture à l'utilisateur via une directive "access".

Voici un exemple d'utilsateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
dn: uid=user1,ou=Users,dc=<DOMAINE>
cn: user1
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: user1
uidNumber: 500
gidNumber: 500
homeDirectory: /home/user1
loginShell: /bin/bash
userPassword:: e1NTSEF9R2F5alRmeDB2dW14eXNIYTl1a212K2RCL0lBSmpJMGo=

Actuellement la directive pour les utilisateurs est comme suis:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
access to dn.childen="ou=Users,dc=<DOMAINE>" \
 attrs=userPassword,shadowLastChange
   by anonymous auth
   by * none

Je pensais ajouter une règle du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access to dn.childen="ou=addressbook,uid=user1,ou=Users,dc=<DOMAINE>" \
   by self write
   by * none

Mais il ne me semble pas très pratique d'avoir une règle par utilisateur pour leur carnet d'adresse. Est-il même souhaitable de placer le carnet d'adresse privé sous le uid?

Je demande donc l'aide de la communauté, car les règles d'accès et le système d'authentification de (open)LDAP me sont encore quelque peu obscure.

Merci.

[montaropdf]

J'ai laissé tombé ça pendant un jour ou 2 et pour travailler sur la config d'emacs pour pouvoir lire mes emails. Puis je suis retourné au feu et j'ai fini par trouver, tout est dans la doc de openldap, section 8.4.6.

Voici ce que celà donne au final:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
access to dn.regex="(.+,)?ou=addressbook,(uid=[^,]+,ou=Users,dc=<DOMAINE>)" \
   by dn.exact,expand="$2" write
   by * none

access to dn.children="ou=Users,dc=inttest,dc=isidor,dc=arg" \
  attrs=userPassword,shadowLastChange
   by anonymous auth
   by * none

Maintenant, je n'ai plus qu'a trouver comment configurer fedora pour que l'authentification des utilisateurs, ce fasse via LDAP plutôt que via /etc/shadow.

Moralité, lorsque vous cherchez pendant des heures voir des jours comment résoudre un problème et que vous allez tous jeter par la fenêtre, passez à autre chose, ça aide à ouvrir son esprit.