#ldap普通用戶登錄限制查看信息
#在/openldap/slapd.conf文件最下面添加一下代碼,可控制某個用戶擁有查看用戶信息的權限,而其他普通用戶登錄后無法查看用戶信息,若有多個普通用戶需要用戶查看權限,只需多增加授權用戶即可
access to dn.subtree="o=lianyi,dc=cn"
by anonymous auth
by self write
by dn.exact="cn=admin,ou=users,o=lianyi,dc=cn" read
# by users read
注意:
1、access to dn.subtree="o=lianyi,dc=cn",這個一條是代表允許訪問哪個目錄下的用戶,我這里設置的是o=lianyi,dc=cn一層下的用戶,這個要根據學校的需求及分組名稱去配置,
切不可按這路徑去配置。
2、by anonymous auth 代表可以匿名訪問,必須又有的參數,這個可直接復制
3、 by self write 代表對自己的權限,代理代表是有寫入,即修改權限,這也是必要參數,可復制,也可對權限(write)進行修改后復制到現場環境的ldap配置中
4、by dn.exact="cn=admin,ou=users,o=lianyi,dc=cn" read 這個是對某個用戶進行授權查看權限配置,這里配置的是ou=users,o=lianyi,dc=cn這個組下的admin這個用戶擁有查看權限,
也可把read改成write,這樣這個admin用戶就擁有對access to dn.subtree這樹下的用戶有修改權限,如果有多個用戶需要access to dn.subtree下的用戶權限,可以配置 多個 by dn.exact
,權限可按需分配
5、以上用戶只對普通用戶進行權限設置,超級管理員不受影響
6、用戶登錄的賬號密碼是ldap里的賬號密碼