OpenLDAPのアクセス制御メモ(dnかつpeername)

あるエントリ(マニュアル的にいうと<what>)、例えばdn.subtree="ou=People,dc=example,dc=jp"に、ある実体(マニュアル的にいえば<who>)、例えばdn="cn=admin,dc=example,dc=jp"が、特定のIPアドレス(これもマニュアル的にいえば<who>か)からのみreadでアクセスできるようにするには、こんな感じでいいのかな？

access to dn.subtree="ou=People,dc=example,dc=jp"
    by dn="cn=admin,dc=example,dc=jp" read break
    by * none
access to dn.subtree="ou=People,dc=example,dc=jp"
    by peername.ip=127.0.0.0%255.0.0.0 read
    by peername.ip=192.168.0.0%255.255.255.0 read
    by sockname="PATH=/var/run/ldapi" read
    by * -dxcsr
    by * none

socknameはポリシーに対して蛇足感がありますけど。でも、ありがちな制御パターンな気がするので、もっとシンプルに書けても良さそうな気がするんですが…。

タグ：OpenLDAP slapd.access(5)