Hello, on 17.12.2004 17:18, Pavel V. Kaygorodov at CGatePro@mx.ru wrote:
>
> Вот еще какой вопрос:
>
> Нужно дать определенному польтзователю возможность читать/менять содержимое
> нескольких полей в LDAP всем пользователям CGP. Всем остальным эти поля
> должны быть недоступны ни по записи, ни по чтению.
> Больше ему никаких прав давать нельзя (или очень нежелательно).
> Сейчас родилось решение: дать ему право "Basic settings", поотключать все
> сервисы кроме LDAP, и добавить правила в Directory->Access:
>
> Target: *
> BindDN: uid=user,cn=our.domain
> allow:
> Modify: field2, field2
> Read: field2, field2
>
> Target: *
> BindDN: *
> prohibit:
> Modify: field2, field2
> Read: field2, field2
>
> Target: *
> BindDN: uid=user,cn=our.domain
> prohibit:
> Modify: *
>
> -+--------
>
> Это правильно ?
Права на Basic settings можно вообще не давать, если все изменения будут
делаться через LDAP.
> Чем мы рискуем в случае утечки пароля этого юзера ?
Кто-то сможет изменять указанные атрибуты в записях аккаунтов. Если LDAP provisioning выключен, то на настройках самих аккаунтов это никак не скажется.
-- Best regards, Dmitry Akindinov -- Stalker LabsПолучено Fri Dec 17 15:40:13 2004
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:40 MSK