OpenLDAPのアクセス制御メモ(dnかつpeername)
あるエントリ(マニュアル的にいうと
<what>
)、例えばdn.subtree="ou=People,dc=example,dc=jp"
に、ある実体(マニュアル的にいえば<who>
)、例えばdn="cn=admin,dc=example,dc=jp"
が、特定のIPアドレス(これもマニュアル的にいえば<who>
か)からのみread
でアクセスできるようにするには、こんな感じでいいのかな?access to dn.subtree="ou=People,dc=example,dc=jp" by dn="cn=admin,dc=example,dc=jp" read break by * none access to dn.subtree="ou=People,dc=example,dc=jp" by peername.ip=127.0.0.0%255.0.0.0 read by peername.ip=192.168.0.0%255.255.255.0 read by sockname="PATH=/var/run/ldapi" read by * -dxcsr by * none
sockname
はポリシーに対して蛇足感がありますけど。でも、ありがちな制御パターンな気がするので、もっとシンプルに書けても良さそうな気がするんですが…。
コメント 0