LDAP Zugangsbeschränkungen funktionieren nicht

[scientific]

Hi!

LDAP beschäftigt mich ja weiterhin...
Ich habe jetzt einmal zwei minimale ACLs installiert:

Code: Alles auswählen

{0}to attrs=userpassword by self =xw by anonymous auth
{1}to * by self write by users read

Und soweit ich das verstanden habe, wird ein "by * none" implizit immer dazugefügt.

Die beiden Regeln sollen bewirken, dass ein User sein Passwort ändern, aber selbst nicht sehen kann, und dass das Passwort nur für Authentifizierte User selbst veränderbar sein soll.
Die Zweite Regel besagt, dass nur Authentifizierte User alles lesen können (und implizit nicht authentifizierte User sollen gar nichts sehen).

Wenn ich jetzt von einem entfernten Rechner

Code: Alles auswählen

ldapsearch -x -h ldap.example.org -Z

ausführe (Ich hab meinen openldap so konfiguriert, dass er ausschließlich TLS-gesicherte Verbindungen akzeptiert), so spuckt mir diese Abfrage den gesamten Inhalt ohne weitere Authentifizierung aus.

Genau das will ich aber verhindern! Damit kann doch jeder ohne Passwort den Inhalt meines Servers auslesen?
Gebe ich dem Befehl noch ein -D uid=... -W mit, und gebe dann das falsche Passwort ein, so bleibt das Ergebnis leer.

Code: Alles auswählen

Enter LDAP Password:
ldap_bind: Invalid credentials (49)

Wie mache ich das richtig, dass ausschließlich authentifizierte User überhaupt ein Ergebnis sehen?

lg scientific

[scientific]

Kaum schreibt man es auf, fallen einem die richtigen Suchbegriffe ein...

https://serverfault.com/questions/32591 ... -cn-config

Und schon klappt es ausschließlich mit authentifiziertem Zugriff!

lg scientific

[scientific]

Aber etwas funktioniert trotzdem nicht.
Ich hab als erste ACL diese jetzt gesetzt:

Code: Alles auswählen

{0}to attrs=userPassword,shadowLastChange,sshPublicKey by set="[cn=perm-sys_admins,ou=all_hosts,ou=groups,dc=example,dc=org]/member & user" write by anonymous auth by self =xw

Wenn ich mich dann als ein User aus der groupOfNames/posixGroup cn=perm-sys_admins,ou=all_hosts,ou=groups,dc=example,dc=org authentifiziere (in Apache Directory Studio hab ich mir für zwei, drei Testuser eigene Logins/LDAP-Server angelegt), so sehe ich mit diesem User wiederum nur das eigene userPassword, aber nicht jene der anderen User. Obwohl der in dieser Admin-Gruppe ist.
Ich hab das Gefühl, ich kann da einstellen, was ich will, es ändert überhaupt nix am Verhalten.
Wenn ich nämlich zu den "attrs=" noch "sshPublicKey" hinzunehme, so sehe ich den bei allen Usern.

[scientific]

Das muss man auf der Datenbank "frontend" setzen... Grrrrr