J'ai un serveur LDAP runnign avec la structure:regex LDAP olcAccess ne fonctionnent pas comme prévu
dc=example,dc=ldap
dc=organisations
o=orga1 (objectClasses top/organisation/dcObject)
cn=ADMINS (objectClasses top/groupOfNames)
cn=USER
o=orga2
cn=ADMIN
cn=USER
cn=users (objectClasses top/organisation/dcObject)
cn=user1 (objectClasses top/person)
cn=user2
Maintenant, je whant d'ajouter des règles que seuls les utilisateurs des groupes d'organisation sont en mesure de voir l'organisation.
l'approche codée en dur était assez facile à mettre en œuvre:
olcAccess: {1}to dn.subtree="o=orga1,dc=organizations,dc=example,dc=ldap"
by group.exact="cn=ADMINS,o=orga1,dc=organizations,dc=example,dc=ldap" write
by group.exact="cn=USER,o=orga1,dc=organizations,dc=example,dc=ldap" read
by * none
(Il est important d'écrire deux places devant la « par » [C'était un problème depuis longtemps pour moi])
Mais je ne veux pas implémenter ces règles pour chaque nouvelle organisation, j'ai donc essayé d'implémenter la règle avec un peu de regex magig. Mais j'ai échoué de manière incorrecte:
olcAccess: {1}to dn.regex="^o(.+),dc=organizations,dc=example,dc=ldap$"
attrs=children
by group.exact="cn=ADMINS,o=[$1],dc=organizations,dc=example,dc=ldap$" write
by group.exact="cn=USER,o=[$1],dc=organizations,dc=example,dc=ldap$" read
by * none
Cette règle n'affecte rien. Alors, est-ce que quelqu'un a une idée pour résoudre ma problématique?
Ou n'est-il pas possible de regrouper les membres comme je l'ai fait?
Merci encore