我们的openldap有多个组:useradmins、agt、ib、iss、itt
“useradmins”组始终具有编辑(写入)所有组的权限。我最近执行了一个简单的 'yum update' 并更新了 openldap。从那时起(大约 3 天前)管理员不能写(添加或更改用户)。错误是:
访问权限不足 - 对父级没有写访问权限
...或者,根据我对 slapd.conf 文件的尝试/错误,有时我很容易得到:
访问权限不足
我编辑了我的 slapd.conf 文件(大约 500 次),在阅读在线帖子、文档等时尝试了不同的设置。我当前的 slapd.conf 文件如下所示:
...
database bdb
suffix "dc=am5up,dc=com"
directory /var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
index entryCSN eq
index entryUUID eq
access to *
by self write
by dn="cn=admin,dc=am5up,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
by * read
rootdn "cn=admin,dc=am5up,dc=com"
rootpw <hashed pwd>
...
我的假设是这条线是错误的:
group/groupOfUniqueNames/uniqueMember="cn=useradmins,ou=groups,dc=am5up,dc=com" write
...但我已经尝试了几十种变体,但都没有成功。
任何人都可以提出任何建议吗?
非常感激。
因此,根据评论,该组如下:
但根据acl:
该组应具有 objectClass groupOfUniqueNames 和 uniqueMember(您要授予访问权限的任何人)。但是如上所示的组没有任何,所以你现在可以做两件事:
或者
对于“ user/uid ”,如果 memberuids 是成员的实际 uid,这将适用,否则放置您正在使用的任何属性。