Estou tentando criar uma entrada ACL para permitir que usuários especificados no owneratributo de um grupo gerenciem o grupo e também permitir que grupos, incluindo grupos aninhados, sejam especificados como proprietários.
Eu tenho esta regra, que permite acesso de administrador a membros aninhados de um grupo específico:
{0}to * by ssf=128 set="user & [cn=Administrators,ou=LDAP,dc=Applications,dc=example,dc=com]/member*" manage by * break
E tenho esta regra que funciona para conceder permissões de gerenciamento a usuários especificados diretamente como proprietários:
{2}to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage
mas até agora não consegui descobrir como combinar os dois conceitos para permitir a especificação de grupos como proprietários. Alguém conseguiu algo assim funcionando?
Assim que postei a pergunta, vi o erro estúpido que cometi - esqueci de incluir a permissão a ser concedida na entrada acl. Esta entrada foi testada e funciona para usuários como proprietários, bem como grupos e grupos aninhados como proprietários (com um avanço para que os não proprietários não sejam rejeitados imediatamente):
to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage by ssf=128 set="user & this/owner*/member*" manage by * break