《Linux/UNIX OpenLDAP实战指南》——2.9 OpenLDAP控制策略

本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.9节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看

2.9 OpenLDAP控制策略

2.9.1 通过slapd.conf定义用户策略控制
默认情况下,不允许OpenLDAP用户自身修改密码,仅管理员具有修改权限。为了提高个人账号的安全性,需要让用户自身可以修改并更新密码信息,不需要管理员干涉。具体步骤如下。

1)定义访问控制策略。

编辑slapd.conf配置文件,定位access行,添加如下内容。

access to attrs=shadowLastChange,userPassword
     by self write    #只允许自身修改
     by * auth
access to *
     by * read   #允许授权用户查看信息

2)重新加载slapd进程。

# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
# chown -R ldap.ldap /etc/openldap/
# chown -R ldap.ldap /var/lib/ldap
# service slapd restart

2.9.2 通过cn=config定义用户控制策略
要定义用户控制策略,可运行以下代码。

# cat << EOF | ldapmodify -x -D cn=Manager,cn=config -W redhat@123!
dn: olcDatabase={2}bdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=gdy,dc=com"  
           write by anonymous auth by self write by * none
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=Manager,dc=gdy,dc=com" write by * read
EOF
modifying entry "olcDatabase={2}bdb,cn=config"
上一篇:阿里云双11拼团价低至冰点,领1亿元双11补贴


下一篇:直播室源码即时通讯技术如何实现的