OpenLDAP ACL ¼³Á¤°ü·Ã Áú¹®ÀÔ´Ï´Ù.

dragoune   
   Á¶È¸ 3910   Ãßõ 0    

안녕하세요, 항상 이상한(?)것만 여쭙는 듯한 느낌이 들지만 또 질문입니다.
괜히 입을 잘못놀려서...
회사 전화기가 LDAP 지원하는걸 발견했을 때 "어? 이걸로 전화번호부 쓰면 되겠네요" 했다가 

"그래? 그럼 니가 만들어" 당첨된 사람입니다. (신나죽겠네 ㅠ_ㅠ)

OpenLDAP 는 뚝딱하고 됐고, 회사 전화번호부는 MySQL에 들어있길래 그걸 맞춰서 넣기도 했고
검색도 되고, 업데이트 되고 잘 됐습니다.

근데 검색제한이 문제라 문의드립니다. 

현재 설정은
--------------------------------------------------------
######집어넣은 설정######
access to dn.regex="ou=([^,]+),dc=my-domain,dc=com" attrs=userPassword
    by self read
    by anonymous auth
    by * disclose

access to *
   by anonymous auth
   by * read
(여길 by * disclose 로 해버리면 권한없음이 떠버립니다. )

######원래 있던거, 유지중입니다.######
# enable on-the-fly configuration (cn=config)
database config
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
    by * none

# enable server status monitoring (cn=monitor)
database monitor
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
        by * none

--------------------------------------------------------

이런상황이고, 전화기에 셋팅할 내용은
BaseDN 
ou=영업부,dc=my-domain,dc=com
UserName
ou=영업부,dc=my-domain,dc=com

이런식인데, 문제는 BaseDN 설정을
dc=my-domain,dc=com 로 해버리면
전체 검색이 되어버리는 점입니다.

부서별로 보여주고 싶지 않은(?) 연락처등이 있어서, 격리를 시켜야하는데,
설정을 걸 방법을 찾지를 못하는 상태입니다.

아무쪼록 답변 부탁드립니다. (__)
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
±øÀç 2014-04
ÇØ´äÀº Àû¾î ³õÀ¸¼Ì³×¿ä..
access to dn.regex="ou=([^,]+),dc=my-domain,dc=com" attrs=telephonenumber
    by self read
    by anonymous auth
    by * disclose

password ´ë½Å¿¡ telephonenumber ·Î ¹Ù²Ù½Ã´Â°Ç ¾î¶³±î¿ä?
´Ü, À§ Á¤±ÔÇ¥Çö½Ä¿¡ µû¸£¸é.. ÀÚ±â OU ¾È¿¡ ÀÖ´Â ¸í´Ü ¹Û¿¡ Á¶È¸°¡ ¾ÈµË´Ï´Ù.
ÀÌ·¯¸é ÀüÈ­¹øÈ£ºÎÀÇ Àǹ̰¡ ¾øÁö ¾ÊÀ»±î¿ä?

°á±¹ ¸ÖƼ OU °Ë»ö ¹× ƯÁ¤ OU ÇÊÅ͸¦ À§Çؼ­´Â..
addressbookÀ» ¸¸µé°Å³ª(group) °¢ OUº°·Î º¹ÀâÇÑ ACLÀ» °É°Å³ª ÇØ¾ß ÇÒ µí ÇÕ´Ï´Ù.
     
dragoune 2014-04
°­À缺 ´Ô // ´äº¯ °¨»çÇÕ´Ï´Ù.
ÀڱⰡ ¼ÓÇÑ OU ³»¿¡¼­¸¸ °Ë»öÀÌ µÇ°Ô ÇÏ´Â °ÍÀÌ ¸ñÀûÀÔ´Ï´Ù.
(OUº°·Î ¿ÏÀü°Ý¸®Áö¿ä)
¸ÖƼ OU °Ë»öÀº Àý´ë·Î ¾µ ÀÏÀÌ ¾ø´Â°Ô ´ÙÇàÀÔ´Ï´Ù.  °°Àº µ¥ÀÌÅ͸¦ ¶Ç ³Ö´øÁö ÇÏ°ÚÁö¿ä ¹¹ ¤¾¤¾;

¾Ë·ÁÁֽŴë·Î  attrs=telephonenumber ·Î º¯°æÇغ¸¾Ò½À´Ï´Ù¸¸, base DNÀ» ÀÓÀÇ º¯°æÇßÀ» ¶§, ´Ù¸¥ °Ë»öÀ¯ÀúÀÇ ou ÀÌ¿ÜÀÇ ´Ù¸¥ ou µµ °Ë»öµÇ´Â°Ç ¸·À» ¼ö°¡ ¾ø³×¿ä
ÇöÀç ±¸Á¶»ó¿¡¼­´Â °Ë»ö°á°ú°¡ ÀÌ»óÀÌ ¹ß»ýÇÏÁö¸¸, OU º°·Î °Ë»öÁ¦ÇѸ¸ °É ¼ö ÀÖÀ¸¸é ±¸Á¶¾ß ¹Ù²Ù¸é µÇ´Âµ¥ ¸»ÀÌÁÒ OTL

ÇöÀç ±¸Á¶´Â
dc=my-domian,dc=com
-ou=sales
 --cn=Àüȭȸ¼±1
  ---uid=°Ë»öµÉ ÀüÈ­¹øÈ£  (objectClass(extensibleObject, person), cn, sn, telephoneNumber, uid)

ÀÌ·± ±¸Á¶´Ù º¸´Ï... Á¦°¡ ÀÌÇظ¦ À߸øÇϴ°ÇÁö Âü ¾î·Æ³×¿ä ¤Ð_¤Ð
dragoune 2014-04
ÀÚ¹®ÀÚ´äÀÌ µÆ³×¿ä ¤Ì_¤Ì Á¦°¡ ÂüÁ¶Çß´ø Çѱ¹ÂÊ »çÀÌÆ®ÀÇ ¼³¸íÀÌ ¿ÏÀüÈ÷ À߸øµÈ °ÍÀ̾ú½À´Ï´Ù.(¸ÁÇÒ...)

access to dn="dc=my-domain,dc=com"
    by * none

access to dn.subtree="ou=system,dc=my-domain,dc=com"
    by dn="ou=system,dc=my-domain,dc=com" read
    by * disclose

access to dn.subtree="ou=sales,dc=my-domain,dc=com"
    by dn="cn=ou=sales,dc=my-domain,dc=com" read
    by * disclose
.
.
.

ÀÌ·¸°Ô ÇØ°áºÃ½À´Ï´Ù.


QnA
Á¦¸ñPage 3903/5684
2014-05   4957517   Á¤ÀºÁØ1
2015-12   1493965   ¹é¸Þ°¡
2018-04   3911   SonZ
2014-09   3911   user
2023-05   3911   Çí»çÄÚ¾î
2016-09   3911   ÀÌõdz
2017-05   3911   ÀÌ´ÏÀÌ´Ï
2019-04   3911   ¾ËÁã¾î¸Ø
2007-04   3911   Á¶Á¤¿ì
2019-01   3911   Won³«¿¬
2021-05   3911   dNb0
2021-07   3911   Áý±¸¼®
2016-02   3910   susemi
2020-01   3910   maronet
2017-01   3910   À©µµ¿ì10
2014-08   3910   Ç㿵Áø
2015-05   3910   ¹Ì´ã
2016-05   3910   nQÀ̼ººÀ
2015-12   3910   ÁÒ½´¾Æ
2018-02   3910   ±è°Ç¿ì
2018-09   3910   ¹Î»çÀå
2016-01   3910   pap100