Discussion :

[Izhocell]

Bonjour,

dans le cadre d'un mini-projet d'annuaire LDAP pour une flotte de mobile, j'ai mis en place un OpenLdap proxy d'un Active Directory.
Pour le moment j'arrive bien a avoir tous mes utilisateurs et attributs associés.

Cependant vu que l'OpenLDAP va être ouvert à internet, je cherche à réduire le périmètre de recherche que sur une seul OU et qu'à certain attribut.
J'ai lu sur le net que l'on pouvait jouer avec les règles d'accès, mais je n'ai pas l'impression que ça fonctionne pour mon cas.

Voici la règle que j'ai créé :

access to dn.subtree="ou=xxxx,dc=xxxx,dc=fr" attrs="entry,sn,givenName,
streetAddress,l,postaCode,mail,telephoneNumber,mobile"
by dn="cn=xxxxxx,OU=xxxxx,dc=xxx,dc=fr" read
by * none

Est-ce bien comme ça qu'il faut faire ? Si, oui, alors qu'elle est mon erreur, si, non alors est-ce que c'est réalisable au moins ?

Merci de votre aide.

Izhocell

[jlliagre]

Quelle version d'OpenLDAP ?

[Izhocell]

Bonjour,

Merci de votre réponse.

la version de mon OpenLDAP semble être la 2.4.40

ldapsearch -VV
ldapsearch: @(#) $OpenLDAP: ldapsearch 2.4.40 (May 10 2016 23:31:28) $
mockbuild@worker1.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/build-clients/clients/tools
(LDAP library: OpenLDAP 20440)

[jlliagre]

Je lancerais le proxy en mode debug pour voir comment il traite une requête qui ne devrait pas passer.

[Izhocell]

Je viens de rajouter la ligne ci-dessous dans mon slapd.conf mais je n'ai aucun fichier de créé dans mon /var/log/

loglevel 256

Je n'ai pas de syslog pour centraliser les logs pour le moment, et j'ai lu que OpenLDAP n'envoyait ses logs qu'à ça.

Il n'y a-t-il pas un autre moyen de voir les logs ?

[jlliagre]

Mieux vaut ne loguer que les ACL ( http://prefetch.net/blog/index.php/2...openldap-acls/ ):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

loglevel ACL

Tu as relancé le service ?