Acl´s
Jaime Oyarzun Cruzat
jaime.oyarzun en tie.cl
Sab Feb 11 00:40:05 CLST 2006
Michell por lo que entiendo de tus correos, tu jerarquia del ldap es
algo asi :
-> o=organizacion
-->ou=postfix
--->ou=accounts
---->ou=dominio
Entiendo tambien que ou=dominio es el contenedor de las cuentas.
Con tu acl, al usar el dn.subtree le estas dando permiso para todo el
subarbol incluyendo la raiz, que en este caso seria ou=dominio, que me
imagino es la ou que dices que puede eliminar.
Para solucionarlo te recomiendo uses en vez de subtree children osea
algo asi como
access to dn.children="dominio,ou=accounts,ou=postfix,o=organizacion"
attrs=Active,cn,quota,description,DynamicListMember
by dn.regex="cn=correoadmin,ou=Administrative
Users,ou=postfix,o=organizacion" write
by * read
Con eso tu usuario tendria control con todo lo que esta bajo ou=dominio,
osea las cuentas, lo mismo para la ou=dominio,ou=alias.
Otra cosa, que me imagino es mas un tema de copy/paste y/o dedos , te
falta un ou=, antes de dominio.
Prueba con eso y luego nos cuentas a la lista
saludos
Jaime.
El vie, 10-02-2006 a las 14:55 -0300, Michael Fernández M. escribió:
> por ejemplo esta.., si la aplico.. el usuario correoadmin puede
> eliminar y crear cuentas de correo, pero además puede eliminar la ou con
> todas las cuentas.
>
>
> access to dn.subtree="dominio,ou=accounts,ou=postfix,o=organizacion"
> attrs=Active,cn,quota,description,DynamicListMember
> by dn.regex="cn=correoadmin,ou=Administrative
> Users,ou=postfix,o=organizacion" write
> by * read
>
>
> pero no sé como hacerlo para que no eliminen la ou con todas cuentas...
>
> salu2
>
> Michael.-
>
>
>
> El vie, 10-02-2006 a las 12:58 -0300, Jaime Oyarzun Cruzat escribió:
> > Que has hecho y que no te funciona?
> >
> > El vie, 10-02-2006 a las 10:15 -0300, Michael Fernández M. escribió:
> > > Hola... tengo una problemilla con ACL de ldap.
> > >
> > > resulta que tengo un usuario para administrador de mi ldap.
> > >
> > > pero hay más gente que necesita conectarse a LDAP mediante phpldapadmin
> > > para crear cuentas de correo o borrarlas..
> > >
> > > si tengo un usuario cuyo dn es: cn=correoadmin,ou=Administrative
> > > Users,ou=postfix,o=organizacion
> > >
> > > y la base de los correos es:
> > >
> > > ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > >
> > > y dentro de esta base están todos los correos de la forma:
> > >
> > > mail=ajaja en domio.tld,ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > > mail=ajaja1 en domio.tld,ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > > etc...
> > >
> > >
> > > y la base de los alias es:
> > >
> > > ou=dominio,ou=alias,ou=postfix,o=organizacion
> > > mail=ajaja en domio.tld,ou=dominio,ou=alias,ou=postfix,o=organizacion
> > > etc..
> > >
> > >
> > > como puedo hacer una ACL para que el usuario
> > > cn=correoadmin,ou=Administrative Users,ou=postfix,o=organizacion pueda
> > > borrar y crear correos pero _NO_ eliminar la base:
> > > ou=dominio,ou=accounts,ou=postfix,o=organizacion además la base de los
> > > alias ou=dominio,ou=alias,ou=postfix,o=organizacion
> > >
> > > lo he hecho pero no me funciona.., espero me puedan ayudar...
> > >
> > > Gracias.
> > >
> > > Michael.-
> > >
> >
Más información sobre la lista de distribución Linux