LINUX.ORG.RU
ФорумAdmin

Пользователь OpenLDAP с минимальными правами

 ,


0

1

Есть стенд с OpenLDAP на Centos 7. Подключаю сервисы через phpldapadmin. Но пользователей создаю через ldif-файлы в консоли, привычней.

Сейчас подключаю стенд к zabbix для мониторинга. Нужен пользователь OpenLDAP, при помощи которого можно авторизовываться в веб-интерфейсе. при этом из-под пользователя не видно никаких объектов, т.е. прав кроме авторизации вообще не нужно. Что-то вроде вот такого набора:

dn: uid=Zabbix,ou=People,dc=domen,dc=ru
objectClass: (класс(ы), который позволяет корректно логиниться, но не дает доступа к другим объектам)
uid: zabbix
userPassword: {SSHA}R2q5b7HTB8tuTTPPEB78wlGWmZIRWz8C

Пробовала варианты posixAccount, top, account...

additional info: attribute 'userPassword' not allowed

или

additional info: no structural object class provided

Подскажите, какой вариант подойдет?

при этом из-под пользователя не видно никаких объектов

это зависит от настроек прав

кроме авторизации вообще не нужно

objectClass: simpleSecurityObject

bass ★★★★★ ()
Последнее исправление: bass (всего исправлений: 1)

Разрешить конкретно этому пользователю просматривать только basedn(а то и вообще "") а всё остальное запретить через acl - не вариант?

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от bass

Спасибо за ответ

Авторизоваться смогла, но пользователь может просматривать дерево. Это как-то можно запретить? Или, может, есть другой объектный класс, который не может дерево просматривать?

manik207 ()
Ответ на: комментарий от Pinkbyte

Спасибо за ответ

А куда именно подставить «» на просмотр базового DN? Это тоже через ldif-файл делается при создании пользователя?

manik207 ()

Записи в LDAP - это просто записи. С правами они никак не связаны.

Все права записываются вами в конфигурации самого openldap с помощью ACL отдельно.

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.