Пользователь OpenLDAP с минимальными правами

0

1

Есть стенд с OpenLDAP на Centos 7. Подключаю сервисы через phpldapadmin. Но пользователей создаю через ldif-файлы в консоли, привычней.

Сейчас подключаю стенд к zabbix для мониторинга. Нужен пользователь OpenLDAP, при помощи которого можно авторизовываться в веб-интерфейсе. при этом из-под пользователя не видно никаких объектов, т.е. прав кроме авторизации вообще не нужно. Что-то вроде вот такого набора:

dn: uid=Zabbix,ou=People,dc=domen,dc=ru
objectClass: (класс(ы), который позволяет корректно логиниться, но не дает доступа к другим объектам)
uid: zabbix
userPassword: {SSHA}R2q5b7HTB8tuTTPPEB78wlGWmZIRWz8C

Пробовала варианты posixAccount, top, account...

additional info: attribute 'userPassword' not allowed

или

additional info: no structural object class provided

Подскажите, какой вариант подойдет?

Ссылка

←	Не получается пофиксить gzip: stdin: file size changed while zipping на ubuntu trusty

Не получается пробросить одну из двух GPU NVIDIA в KVM.

→

при этом из-под пользователя не видно никаких объектов

это зависит от настроек прав

кроме авторизации вообще не нужно

objectClass: simpleSecurityObject

bass ★★★★★
(02.05.18 15:34:34 MSK)
Последнее исправление: bass 02.05.18 15:36:43 MSK (всего исправлений: 1)

Разрешить конкретно этому пользователю просматривать только basedn(а то и вообще "") а всё остальное запретить через acl - не вариант?

Pinkbyte ★★★★★
(02.05.18 15:39:32 MSK)
Последнее исправление: Pinkbyte 02.05.18 15:40:03 MSK (всего исправлений: 2)

Ответ на: комментарий от bass 02.05.18 15:34:34 MSK

Спасибо за ответ

Авторизоваться смогла, но пользователь может просматривать дерево. Это как-то можно запретить? Или, может, есть другой объектный класс, который не может дерево просматривать?

manik207 ★
(02.05.18 16:37:32 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 02.05.18 15:39:32 MSK

Спасибо за ответ

А куда именно подставить «» на просмотр базового DN? Это тоже через ldif-файл делается при создании пользователя?

manik207 ★
(02.05.18 16:39:09 MSK) автор топика

Ответ на: Спасибо за ответ от manik207 02.05.18 16:39:09 MSK

Это делается в slapd.conf для старого формата базы и в cn=config - для нового.

https://unix.stackexchange.com/questions/11549/howto-set-access-control-lists...

Pinkbyte ★★★★★
(02.05.18 16:43:24 MSK)

Ссылка

Записи в LDAP - это просто записи. С правами они никак не связаны.

Все права записываются вами в конфигурации самого openldap с помощью ACL отдельно.

~~zgen~~ ★★★★★
(02.05.18 18:28:14 MSK)
Последнее исправление: zgen 02.05.18 18:29:04 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не получается пофиксить gzip: stdin: file size changed while zipping на ubuntu trusty

Admin

Не получается пробросить одну из двух GPU NVIDIA в KVM.

→

Спасибо за ответ

Спасибо за ответ

Похожие темы