Ldap acl

ChristophK 2007-03-23 08:40:09 UTC #1

Hallo,

ich habe gerade mein Adressbuch auf LDAP umgestellt, und habe noch
Probleme mit den ACL,.

Meine User-Accoutn liegen unter

ou=People,dc=bs,dc=EXAMPLE,dc=COM

zum Beispiel als

uid=christoph,ou=People,dc=bs,dc=EXAMPLE,dc=COM

Die Adressbücher liegen unter

ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

nämlich

ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

und

ou=shared,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM .

Also mein persönliches unter

cn=christoph,ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

und das der Gruppe default

cn=default,ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

Dein Einträge in den Büchern lauten

uid=101,cn=christoph,ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

oder

uid=1618,cn=default,ou=shared,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM

Mit meinen ACL kann ich die Einträge zwar lesen und ändern, aber keine
neuen hinzufügen.

Kann mir da jemand weiterhelfen?

Hier ist die acl Liste für die Adressbuch Einträge:

Access to users personal addressbooks

allow read of addressbook by owner and egwadmin account

access to dn.regex="cn=(.*),ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM"
attrs=entry
by dn.regex=“uid=$1,ou=People,dc=bs,dc=EXAMPLE,dc=COM” read
by dn.regex=“uid=e-admin,ou=People,dc=bs,dc=EXAMPLE,dc=COM” write
by users none

allow user to create entries in own addressbook; no-one else can access it # needs write access to the entries ENTRY attribute …

access to
dn.regex=“cn=([^,]+),ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM$“
attrs=children
by dn.regex=”^uid=$1,ou=People,dc=bs,dc=EXAMPLE,dc=COM$$” write
by users none

… and the entries CHILDREN

access to
dn.regex="^(.+,)?cn=([^,]+),ou=personal,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM$“
attrs=entry,@inetOrgPerson,@mozillaAbPersonAlpha,@evolutionPerson
by dn.regex=”^uid=$2,ou=People,dc=bs,dc=EXAMPLE,dc=COM$$" write
by users none

Access to groups addressbooks

allow read of addressbook by members and egwadmin account

access to dn.regex="cn=(.*),ou=shared,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM"
attrs=entry
by group.expand=“cn=$1,ou=groups,dc=bs,dc=EXAMPLE,dc=COM” read
by dn.regex=“uid=e-admin,ou=People,dc=bs,dc=EXAMPLE,dc=COM” write
by users none

allow members to create entries in there group addressbooks; no-one

else can access it # needs write access to the entries ENTRY attribute …
access to dn.regex="cn=(.*),ou=shared,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM"
attrs=children
by group.expand=“cn=$1,ou=groups,dc=bs,dc=EXAMPLE,dc=COM” write
by users none

… and the entries CHILDREN

access to dn.regex="cn=(.*),ou=shared,ou=contacts,dc=bs,dc=EXAMPLE,dc=COM"
attrs=entry,@inetOrgPerson,@mozillaAbPersonAlpha,@evolutionPerson
by group.expand=“cn=$1,ou=groups,dc=bs,dc=EXAMPLE,dc=COM” write
by users none

Danke

Christoph