Droit d'accès (ACL)

[Doumeasse38]

Je galère sur l'écriture des ACL dans le fichier slapd.conf de l'annuaire que je met en place.

Voilà mon fichier ldif de démarrage:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
dn: dc=netjukebox, dc=com
dc: netjukebox
o: netjukebox.com
objectClass: top
objectClass: dcObject
objectClass: organization
  
dn:ou=usager,dc=netjukebox, dc=com
objectClass: top
objectClass: organizationalUnit
ou:usager
  
dn:ou=respprog,dc=netjukebox, dc=com
objectClass: top
objectClass: organizationalUnit
ou:respprog
 

dn:ou=admin,dc=netjukebox, dc=com
objectClass: top
objectClass: organizationalUnit
ou:admin

je souhaite que :
les membres de ou:admin ai tout les droits sur l'ensemble de l'annuaire,
les menbres de ou:usager et ou:ressprog aient uniquement les droits d'écriture sur eux-même, et le droit de lecture sur tout.

J'ai testé plein de possibilités mais à chaque fois, l'écriture réservée à la branche admin est donnée à tous ou est refusée à tous...

Voici entre-autre ce que j'ai testé sans succès...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
access to *
                by dn.children="ou=admin, dc=netjukebox, dc=com" write
                 by users        read
               by *            none

Merci par avance pour votre aide

[julp]

Et avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
access to *
<tabulation>by dn.children="ou=admin, dc=netjukebox, dc=com" write
<tabulation>by self write
<tabulation>by users read
<tabulation>by * none

La documentation d'OpenLDAP est très intéressante à ce sujet, pourquoi ne pas la consulter ? (j'oubliais : "self" représente l'entrée qui correspond à l'utilisateur)


Julp.

[Doumeasse38]

Je te remercie pour ta réponse, mais cela ne fonctionne pas. J'ai une authentification simple par login et mot de passe pour accèder à l'annuaire.

Alors j'ai tenté le code ci-dessous et l'acces à l'annuaire fonctionne pour tous les utilisateurs, mais aucun d'eux n'a le droit d'écriture ...

C'est comme si la lecture des droits s'arrêtait à ACL n°1... J'ai lu qu'il y avait un ordre à respecter dans l'écriture des droits d'acces, mais j'ai beau tourner dans tout les sens mon code, ca marche pas!!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
 access to *
        by anonymous read
 
access to dn.subtree="ou=admin,dc=netjukebox,dc=com"
        by self write
        by users read
 
access to dn.subtree="ou=ressprog,dc=netjukebox,dc=com"
        by dn.children="ou=admin,dc=netjukebox,dc=com" write
        by self write
        by users read
 
access to dn.subtree="ou=usager,dc=netjukebox,dc=com"
        by dn.children="ou=admin,dc=netjukebox,dc=com" write
        by self write
        by users read

Merci

[julp]

Effectivement, l'ordre des ACL est important (comme c'est générallement le cas avec les firewalls) - c'est la première qui correspond qui s'applique. Y a-t-il des changements en commentant votre première ACL (... to * ...) ou bien en accordant à tous vos utilisateurs (users) le droit write au lieu de read ?


Julp.

PS : vous devriez ajouter OpenLDAP dans votre titre car "ACL" prête confusion.

[Doumeasse38]

J'ai en effet testé le premier droit en dernier:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
access to dn.subtree="ou=usager,dc=netjukebox,dc=com"
       by self write
       by dn.children="ou=admin,dc=netjukebox,dc=com"
 
access to dn.subtree="dc=netjukebox,dc=com" 
       by * read

Tous mes utilisateurs lisent, mais un utilisateur (appartenant à [ou=usager]) ne peut modifier ses données, et les administrateurs (appartenant à [ou=admin]) non plus ...

Alors j'ai essayé également dn.one, dn.children, dn.subtree... mais sans résultat...

J'ai l'impression que c'est le dernier droit qui est pris en compte...