我正在尝试创建一个 ACL 条目以允许在owner组属性中指定的用户管理该组,还允许将组(包括嵌套组)指定为所有者。
我有这条规则,它允许管理员访问特定组的嵌套成员:
{0}to * by ssf=128 set="user & [cn=Administrators,ou=LDAP,dc=Applications,dc=example,dc=com]/member*" manage by * break
我有这条规则,适用于向直接指定为所有者的用户授予管理权限:
{2}to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage
但到目前为止,我还没有弄清楚如何将这两个概念结合起来以允许将组指定为所有者。有人得到这样的工作吗?
几乎在我发布问题后,我就看到了我犯的愚蠢错误——我忘记在 acl 条目中包含要授予的权限。此条目经过测试并适用于作为所有者的用户,以及作为所有者的组和嵌套组(有一个突破,因此非所有者不会被彻底拒绝):
to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage by ssf=128 set="user & this/owner*/member*" manage by * break