у меня есть некоторые проблемы с "ismemberof" на OpenDj.
Я хочу иметь пользователя в OpenDj (например, "uid=jdoe,ou=people,dc=example,dc=com"), который может выполнять запрос "isMemberof". Проблема в том, что по умолчанию User-DN в OpenDj не может выполнять запросы isMemberOf.
Результат шоу:
ldapsearch -h host -p port -D "uid=jdoe,ou=people,dc=example,dc=com" -W "(isMemberOf=cn=cn=group1,ou=groups,dc=example,dc=com)"
extended LDIF
LDAPv3
base <ou=people,dc=example,dc=com> with scope subtree>
filter:(isMemberOf=cn=group1,ou=groups,dc=example,dc=com)
requesting: ALL
search result
search: 2
result: 0 Success
numResponses: 1
Если я даю User-DN привилегию «bypass-acl», запрос покажет всех членов группы. Но привилегия «bypass-acl» дает пользователю-DN также права «модифицировать».
Я просто хочу иметь User-DN, который может выполнять только запрос "isMemberOf" и ничего больше. Я пробовал это с ACI:
cat test.ldif
dn: uid=jdoe,ou=people,dc=example,dc=com
changetype: modify
add: aci
aci: (target="ldap:///\*,dc=example,dc=com) (targetattr = "\*")(version 3.0;acl "Search and >Read "; allow (search, write)(userdn = "ldap:///uid=jdoe,ou=people,dc=example,dc=com");)
безуспешно.
У кого-нибудь есть идея? :/
с уважением,
Айрончанк