ACI openldap i phpldapadmin

0

Mam openldap-2.4.23 pracujący w systemie debian. Korzystam z phpldapadmin, aby uzyskać dostęp do schematu i zarządzać nim.

Mam ten schemat:

o = my

-cn = admin, o = us

-dc = com, o = us

--dc = przykład, dc = com, o = us

--- cn = admin-2, dc = przykład, dc = com, o = us

--- ou = ludzie, dc = przykład, dc = com, o = nas

---- uid = użytkownik1, ou = ludzie, dc = przykład, dc = com, o = us

---- uid = użytkownik2, ou = ludzie, dc = przykład, dc = com, o = us

---- uid = użytkownik3, ou = ludzie, dc = przykład, dc = com, o = us

-dc = it, o = us

--dc = przykład2, dc = to, o = nas

--- ou = ludzie, dc = przykład2, dc = com, o = nas

Dodałem kilka ACI dla cn = admin-2, dc = przykład, dc = com, o = us, aby mógł zarządzać wszystkim od ou = people, dc = przykład, dc = com, o = us. Jak zmienić hasło dla uid = użytkownik3, ou = ludzie, dc = przykład, dc = com, o = us

Kiedy wpisuję z cn = admin, o = us, wszystko jest w porządku. Może zarządzać atrybutami i tworzyć rzeczy.

Ale kiedy używam cn = admin-2, dc = przykład, dc = com, o = us mogę zalogować się do phpldapadmin, ale w lewym rogu widzę -> ? o = us "Ten wpis podstawowy nie istnieje. Utworzyć?"

Nawet jeśli kliknę, aby go utworzyć, nic się nie stanie. Oczywiste jest, że o = us istnieje, ponieważ można to zobaczyć za pomocą cn = admin, o = us.

Jakaś pomoc z tym proszę?

Dziękuję Ci.

payomeke
źródło
Czy możesz opublikować dodane listy ACL? Twoje ACL prawdopodobnie umożliwić nowe konta administratora na modyfikowanie ou = ludzi, ale nie daje żadnych dostęp do reszty ...
grawity
dostęp do attrs = userPassword przez dn = "cn = admin, o = us" napisz przez dn = "cn = admin-2, dc = przykład, dc = com, o = us" napisz samodzielnie pisz anonimowy autor przez * none
payomeke
dostęp do dn.subtree = "ou = people, dc = przykład, dc = com, o = us" przez dn = "cn = admin-2, dc = przykład, dc = com, o = us" pisz anonimowo żaden przez * none
payomeke
Jeśli to wszystko, nie masz żadnych list ACL, które zapewniłyby dostęp do o=us... Potrzebujesz wyraźnego access to dn.sub="o=us".
grawity
Ok masz rację. Teraz działa tak, jak chcę. Dziękuję Ci.
payomeke