Discussion :

[Nick56]

Bonjour,

Je me forme actuellement sur la mise en place d'annuaires LDAP avec OpenLDAP et je cherche à définir des ACL.

Mon problème est que lorsque je fais une recherche avec ldapsearch, je n'ai aucun résultat qui s'affiche, malgré que la requête me renvoie un "success"

Lorsque je supprime les acl, cela fonctionne très bien, il m'affiche toutes les entrées que je recherche.

Mon unique ACL pour le moment

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
access to dn="o=truc,c=fr" by * read

C'est surement pas grand chose. Avez vous la solution?

-------
Deuxième question, j'utilise 2 serveurs LDAP
Un serveur principal,
Un serveur secondaire qui définie une branche avec un attribut referral faisant référence à une des branches du serveur principal.

Lorsque j'effectue une requête sur le serveur secondaire sur cette branche, il me renvoie l'adresse du serveur principal, je suppose que c'est normal...
N'y a-t-il pas moyen de spécifier au serveur secondaire de faire suivre la requête au serveur principal et de me renvoyer la réponse que j'attends au lieu d'effectuer une nouvelle requête?

Merci pour vos réponses

[Nick56]

Bon pour ma première question c'est résolu, le problème venait du fait que je passais l'argument '-x' a mon ldapsearch
Lorsque je me connecte avec un utilisateur habilité, l'affichage se fait bien.

[Nick56]

Bonjour,

J'ai passé en revue les nombreux documents trouvés sur le net et je me suis attardé princiapelemtn sur les tâches administratives : chainage, réplication, permissions, ... Le requêtage m'étant déjà assez famillier.

J'ai de gros soucis en ce qui concerne la mise en place d'ACL et tout particulièrement la connexion d'un utilisateur.
Si je définie l'ACL suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access to * by * read

Je peut me connecter avec n'importe quel utilisateur et effectuer des recherches avec ldapsearch, il me renvoie les entrées correspondantes.

Si je définie un ACL plus restrictif du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access to dn="ou=GES,o=ENT,c=FR"

et que je veux me connecter avec un utilisateur présent dans l'annuaire, il me met une erreur ldap_bind: Invalid credantials (49) même si ma requête ne concerne pas la branche possédant une règle de permission.
ex de commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldapsearch -w monpass -D uid=monUser,ou=USR,o=ENT,c=FR -s sub -b "ou=RH,o=ENT,c=FR" "(cn=*)"

Le mot de passe et le DN sont pourtant bon, car la même requête sans ACL fonctionne.

Mon fichier de configuration est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
ucdata-path	./ucdata
include		./schema/core.schema
include 	./schema/cosine.schema
include		./schema/inetorgperson.schema

pidfile		./run/slapd.pid
argsfile	./run/slapd.args

#ACL
include		slapd.access

database	bdb
suffix		"o=INT,c=FR"
rootdn		"cn=Admin,o=ENT,c=FR"
rootpw		admin
directory	./data

index	objectClass	eq

Pouvez vous m'aider?

Merci.