openldap 指定普通用户登录ldap后可查看某分组下的用户信息

#ldap普通用户登录限制查看信息
#在/openldap/slapd.conf文件最下面添加一下代码,可控制某个用户拥有查看用户信息的权限,而其他普通用户登录后无法查看用户信息,若有多个普通用户需要用户查看权限,只需多增加授权用户即可
access to dn.subtree="o=lianyi,dc=cn"
    by anonymous    auth
    by self         write
    by dn.exact="cn=admin,ou=users,o=lianyi,dc=cn"  read
#    by users        read

注意:
1、access to dn.subtree="o=lianyi,dc=cn",这个一条是代表允许访问哪个目录下的用户,我这里设置的是o=lianyi,dc=cn一层下的用户,这个要根据学校的需求及分组名称去配置,
切不可按这路径去配置。

2、by anonymous    auth 代表可以匿名访问,必须又有的参数,这个可直接复制

3、 by self         write 代表对自己的权限,代理代表是有写入,即修改权限,这也是必要参数,可复制,也可对权限(write)进行修改后复制到现场环境的ldap配置中

4、by dn.exact="cn=admin,ou=users,o=lianyi,dc=cn"  read 这个是对某个用户进行授权查看权限配置,这里配置的是ou=users,o=lianyi,dc=cn这个组下的admin这个用户拥有查看权限,
也可把read改成write,这样这个admin用户就拥有对access to dn.subtree这树下的用户有修改权限,如果有多个用户需要access to dn.subtree下的用户权限,可以配置 多个 by dn.exact
,权限可按需分配

5、以上用户只对普通用户进行权限设置,超级管理员不受影响

6、用户登录的账号密码是ldap里的账号密码

posted @ 2019-12-02 11:39  我为什么要敲代码  阅读(2540)  评论(0编辑  收藏  举报