OpenLDAP ACL ¼³Á¤°ü·Ã Áú¹®ÀÔ´Ï´Ù.

dragoune   
   Á¶È¸ 3892   Ãßõ 0    

안녕하세요, 항상 이상한(?)것만 여쭙는 듯한 느낌이 들지만 또 질문입니다.
괜히 입을 잘못놀려서...
회사 전화기가 LDAP 지원하는걸 발견했을 때 "어? 이걸로 전화번호부 쓰면 되겠네요" 했다가 

"그래? 그럼 니가 만들어" 당첨된 사람입니다. (신나죽겠네 ㅠ_ㅠ)

OpenLDAP 는 뚝딱하고 됐고, 회사 전화번호부는 MySQL에 들어있길래 그걸 맞춰서 넣기도 했고
검색도 되고, 업데이트 되고 잘 됐습니다.

근데 검색제한이 문제라 문의드립니다. 

현재 설정은
--------------------------------------------------------
######집어넣은 설정######
access to dn.regex="ou=([^,]+),dc=my-domain,dc=com" attrs=userPassword
    by self read
    by anonymous auth
    by * disclose

access to *
   by anonymous auth
   by * read
(여길 by * disclose 로 해버리면 권한없음이 떠버립니다. )

######원래 있던거, 유지중입니다.######
# enable on-the-fly configuration (cn=config)
database config
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
    by * none

# enable server status monitoring (cn=monitor)
database monitor
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
        by * none

--------------------------------------------------------

이런상황이고, 전화기에 셋팅할 내용은
BaseDN 
ou=영업부,dc=my-domain,dc=com
UserName
ou=영업부,dc=my-domain,dc=com

이런식인데, 문제는 BaseDN 설정을
dc=my-domain,dc=com 로 해버리면
전체 검색이 되어버리는 점입니다.

부서별로 보여주고 싶지 않은(?) 연락처등이 있어서, 격리를 시켜야하는데,
설정을 걸 방법을 찾지를 못하는 상태입니다.

아무쪼록 답변 부탁드립니다. (__)
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
±øÀç 2014-04
ÇØ´äÀº Àû¾î ³õÀ¸¼Ì³×¿ä..
access to dn.regex="ou=([^,]+),dc=my-domain,dc=com" attrs=telephonenumber
    by self read
    by anonymous auth
    by * disclose

password ´ë½Å¿¡ telephonenumber ·Î ¹Ù²Ù½Ã´Â°Ç ¾î¶³±î¿ä?
´Ü, À§ Á¤±ÔÇ¥Çö½Ä¿¡ µû¸£¸é.. ÀÚ±â OU ¾È¿¡ ÀÖ´Â ¸í´Ü ¹Û¿¡ Á¶È¸°¡ ¾ÈµË´Ï´Ù.
ÀÌ·¯¸é ÀüÈ­¹øÈ£ºÎÀÇ Àǹ̰¡ ¾øÁö ¾ÊÀ»±î¿ä?

°á±¹ ¸ÖƼ OU °Ë»ö ¹× ƯÁ¤ OU ÇÊÅ͸¦ À§Çؼ­´Â..
addressbookÀ» ¸¸µé°Å³ª(group) °¢ OUº°·Î º¹ÀâÇÑ ACLÀ» °É°Å³ª ÇØ¾ß ÇÒ µí ÇÕ´Ï´Ù.
     
dragoune 2014-04
°­À缺 ´Ô // ´äº¯ °¨»çÇÕ´Ï´Ù.
ÀڱⰡ ¼ÓÇÑ OU ³»¿¡¼­¸¸ °Ë»öÀÌ µÇ°Ô ÇÏ´Â °ÍÀÌ ¸ñÀûÀÔ´Ï´Ù.
(OUº°·Î ¿ÏÀü°Ý¸®Áö¿ä)
¸ÖƼ OU °Ë»öÀº Àý´ë·Î ¾µ ÀÏÀÌ ¾ø´Â°Ô ´ÙÇàÀÔ´Ï´Ù.  °°Àº µ¥ÀÌÅ͸¦ ¶Ç ³Ö´øÁö ÇÏ°ÚÁö¿ä ¹¹ ¤¾¤¾;

¾Ë·ÁÁֽŴë·Î  attrs=telephonenumber ·Î º¯°æÇغ¸¾Ò½À´Ï´Ù¸¸, base DNÀ» ÀÓÀÇ º¯°æÇßÀ» ¶§, ´Ù¸¥ °Ë»öÀ¯ÀúÀÇ ou ÀÌ¿ÜÀÇ ´Ù¸¥ ou µµ °Ë»öµÇ´Â°Ç ¸·À» ¼ö°¡ ¾ø³×¿ä
ÇöÀç ±¸Á¶»ó¿¡¼­´Â °Ë»ö°á°ú°¡ ÀÌ»óÀÌ ¹ß»ýÇÏÁö¸¸, OU º°·Î °Ë»öÁ¦ÇѸ¸ °É ¼ö ÀÖÀ¸¸é ±¸Á¶¾ß ¹Ù²Ù¸é µÇ´Âµ¥ ¸»ÀÌÁÒ OTL

ÇöÀç ±¸Á¶´Â
dc=my-domian,dc=com
-ou=sales
 --cn=Àüȭȸ¼±1
  ---uid=°Ë»öµÉ ÀüÈ­¹øÈ£  (objectClass(extensibleObject, person), cn, sn, telephoneNumber, uid)

ÀÌ·± ±¸Á¶´Ù º¸´Ï... Á¦°¡ ÀÌÇظ¦ À߸øÇϴ°ÇÁö Âü ¾î·Æ³×¿ä ¤Ð_¤Ð
dragoune 2014-04
ÀÚ¹®ÀÚ´äÀÌ µÆ³×¿ä ¤Ì_¤Ì Á¦°¡ ÂüÁ¶Çß´ø Çѱ¹ÂÊ »çÀÌÆ®ÀÇ ¼³¸íÀÌ ¿ÏÀüÈ÷ À߸øµÈ °ÍÀ̾ú½À´Ï´Ù.(¸ÁÇÒ...)

access to dn="dc=my-domain,dc=com"
    by * none

access to dn.subtree="ou=system,dc=my-domain,dc=com"
    by dn="ou=system,dc=my-domain,dc=com" read
    by * disclose

access to dn.subtree="ou=sales,dc=my-domain,dc=com"
    by dn="cn=ou=sales,dc=my-domain,dc=com" read
    by * disclose
.
.
.

ÀÌ·¸°Ô ÇØ°áºÃ½À´Ï´Ù.


QnA
Á¦¸ñPage 3175/5679
2014-05   4942122   Á¤ÀºÁØ1
2015-12   1478934   ¹é¸Þ°¡
2014-04   5203   ÀÌ´ª½º¾¾¾Ø¾¾
2014-04   3611   Á¤ÀǼ®
2014-04   4055   ¹Ú
2014-04   3270   ¹Ú¿Ï°æ
2014-04   4758   handan
2014-04   3649   ºü½Ã¿Â
2014-04   3479   ÇϾçÆĵµ
2014-04   3960   À嵿°Ç2014
2014-04   8606   À¯º´±¹
2014-04   5146   ȸ¿øK
2014-04   2964   ±è°Ç¿ì
2014-04   4557   ÄÚ³­1234
2014-04   3893   dragoune
2014-04   3489   ÀÓÁ¾¿­
2014-04   4140   ¹æoÈ¿o¹®
2014-04   16169   2CPUÀÌâ¼ö
2014-04   3542   ȲÁø¿ì
2014-04   7334   1±èIn1
2014-04   3966   ¼ÇÇѸÆÁÖ
2014-04   3732   »ßµ¹À̽½ÇÄÀÌ