Re: Права на LDAP

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Fri 17 Dec 2004 - 18:40:10 MSK


Hello, on 17.12.2004 17:18, Pavel V. Kaygorodov at CGatePro@mx.ru wrote:

>
> Вот еще какой вопрос:
>
> Нужно дать определенному польтзователю возможность читать/менять содержимое
> нескольких полей в LDAP всем пользователям CGP. Всем остальным эти поля
> должны быть недоступны ни по записи, ни по чтению.
> Больше ему никаких прав давать нельзя (или очень нежелательно).
> Сейчас родилось решение: дать ему право "Basic settings", поотключать все
> сервисы кроме LDAP, и добавить правила в Directory->Access:
>
> Target: *
> BindDN: uid=user,cn=our.domain
> allow:
> Modify: field2, field2
> Read: field2, field2
>
> Target: *
> BindDN: *
> prohibit:
> Modify: field2, field2
> Read: field2, field2
>
> Target: *
> BindDN: uid=user,cn=our.domain
> prohibit:
> Modify: *
>
> -+--------
>
> Это правильно ?

Права на Basic settings можно вообще не давать, если все изменения будут делаться через LDAP.
> Чем мы рискуем в случае утечки пароля этого юзера ?

Кто-то сможет изменять указанные атрибуты в записях аккаунтов. Если LDAP provisioning выключен, то на настройках самих аккаунтов это никак не скажется.

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs
Получено Fri Dec 17 15:40:13 2004

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:40 MSK