Acl´s

Lun Feb 13 10:43:37 CLST 2006

Estimado,

Efectivamente la estructura del árbol es así:

o=organizacion
  ou=postfix
   ou=accounts
    ou=dominio

Hice lo que me recomiendas, pero ahora el usuario
"cn=correoadmin,ou=Administrative Users,ou=postfix,o=organizacion"

Además de no poder borrar el contenedor, lo que está bien, no puede
modificar nada de la cuenta...,

access to dn.children="ou=dominio,ou=accounts,ou=postfix,o=organizacion"
 attrs=Active,cn,quota,description,DynamicListMember,userPassword,mail
 by dn.regex="cn=correoadmin,ou=Administrative
Users,ou=postfix,o=organizacion" write
 by * read

Alguna Idea?

Salu2

Gracias..

Michael.-

El sáb, 11-02-2006 a las 00:40 -0300, Jaime Oyarzun Cruzat escribió:
> Michell por lo que entiendo de tus correos, tu jerarquia del ldap es
> algo asi :
> 
> -> o=organizacion
> -->ou=postfix
> --->ou=accounts
> ---->ou=dominio
> 
> Entiendo tambien que ou=dominio es el contenedor de las cuentas.
> 
> Con tu acl, al usar el dn.subtree le estas dando permiso para todo el
> subarbol incluyendo la raiz, que en este caso seria ou=dominio, que me
> imagino es la ou que dices que puede eliminar.
> 
> Para solucionarlo te recomiendo uses en vez de subtree children osea
> algo asi como 
> 
> access to dn.children="dominio,ou=accounts,ou=postfix,o=organizacion"
> attrs=Active,cn,quota,description,DynamicListMember
> by dn.regex="cn=correoadmin,ou=Administrative
> Users,ou=postfix,o=organizacion" write
> by * read
> 
> Con eso tu usuario tendria control con todo lo que esta bajo ou=dominio,
> osea las cuentas, lo mismo para la ou=dominio,ou=alias.
> 
> Otra cosa, que me imagino es mas un tema de copy/paste y/o dedos , te
> falta un ou=, antes de dominio.
> 
> Prueba con eso y luego nos cuentas a la lista
> 
> saludos
> Jaime.
> 
> El vie, 10-02-2006 a las 14:55 -0300, Michael Fernández M. escribió:
> > por ejemplo esta.., si la aplico..  el usuario correoadmin puede
> > eliminar y crear cuentas de correo, pero además puede eliminar la ou con
> > todas las cuentas.
> > 
> > 
> > access to dn.subtree="dominio,ou=accounts,ou=postfix,o=organizacion"
> > attrs=Active,cn,quota,description,DynamicListMember
> > by dn.regex="cn=correoadmin,ou=Administrative
> > Users,ou=postfix,o=organizacion" write
> >  by * read
> > 
> > 
> > pero no sé como hacerlo para que no eliminen la ou con todas cuentas...
> > 
> > salu2
> > 
> > Michael.-
> > 
> > 
> > 
> > El vie, 10-02-2006 a las 12:58 -0300, Jaime Oyarzun Cruzat escribió:
> > > Que has hecho y que no te funciona?
> > > 
> > > El vie, 10-02-2006 a las 10:15 -0300, Michael Fernández M. escribió:
> > > > Hola... tengo una problemilla con ACL de ldap.
> > > > 
> > > > resulta que tengo un usuario para administrador de mi ldap. 
> > > > 
> > > > pero hay más gente que necesita conectarse a LDAP mediante phpldapadmin
> > > > para crear cuentas de correo o borrarlas..
> > > > 
> > > > si tengo un usuario cuyo dn es: cn=correoadmin,ou=Administrative
> > > > Users,ou=postfix,o=organizacion
> > > > 
> > > > y la base de los correos es:
> > > > 
> > > > ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > > > 
> > > > y dentro de esta base están todos los correos de la forma:
> > > > 
> > > > mail=ajaja en domio.tld,ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > > > mail=ajaja1 en domio.tld,ou=dominio,ou=accounts,ou=postfix,o=organizacion
> > > > etc...
> > > > 
> > > > 
> > > > y la base de los alias es:
> > > > 
> > > > ou=dominio,ou=alias,ou=postfix,o=organizacion
> > > > mail=ajaja en domio.tld,ou=dominio,ou=alias,ou=postfix,o=organizacion
> > > > etc..
> > > > 
> > > > 
> > > > como puedo hacer una ACL para que el usuario
> > > > cn=correoadmin,ou=Administrative Users,ou=postfix,o=organizacion pueda
> > > > borrar y crear correos pero _NO_ eliminar la base:
> > > > ou=dominio,ou=accounts,ou=postfix,o=organizacion además la base de los
> > > > alias ou=dominio,ou=alias,ou=postfix,o=organizacion
> > > > 
> > > > lo he hecho pero no me funciona.., espero me puedan ayudar...
> > > > 
> > > > Gracias.
> > > > 
> > > > Michael.-
> > > > 
> > > 
> 