программный запрос разрешений LDAP

Question

Есть ли способ программно запросить сервер OpenLDAP 2.4, чтобы выяснить, какие атрибуты какого-либо объекта разрешено изменять пользователю?Или как-нибудь сказать серверу игнорировать изменения, на которые у текущего пользователя нет разрешения, вместо того, чтобы отклонять весь запрос?

Я ищу способ избежать жесткого кодирования пользователейдолжен увидеть, какие поля редактируются в моем веб-приложении для управления LDAP.

Answer 1

Пожалуйста, проверьте, помогает ли .

В этом примере он пытается изменить ACL для конкретного объекта. Возможно, вы сможете повторно использовать тот же / похожий код.

Answer 2

Если slapd настроен на использование cn = config, вы можете получить ярлык для получения информации ACL. Чтобы иметь slapd, используйте cn = config вместо slapd.conf: http://www.zytrax.com/books/ldap/ch6/slapd-config.html По крайней мере, если ACL доступны через Ldap, запросы на изменение могут быть отфильтрованы до их выполнения.

А как насчет slapadd -u включить режим пробного запуска (не писать в бэкэнд).

Будет ли это полезно для обработки этого сценария?

Answer 3

Что я узнал от людей из UnboundID , так это отсутствие официального стандарта для получения информации ACL, поэтому любая реализация зависит от сервера.

Коммерческий сервер UnboundID предоставляет возможность получить эффективные средства управления доступом для определенной записи, и, очевидно, Sun / Oracle DSEE и OpenDS реализуют аналогичные функции. 389 Сервер каталогов (также известный как Fedora Directory Server, также известный как Red Hat Directory Server) также может иметь некоторую поддержку.

Так что я полагаю, что мне не повезло с нашими серверами OpenLDAP, если я не хочу пройти через миграцию на другой сервер каталогов.