Este posibil ca OpenLDAP să ofere DN-uri de bază diferite pentru diferiți utilizatori?
Lasă-mă să explic exact ce vreau să obțin.
Am un domeniu (să zicem, dc=exemplu,dc=org).
De asemenea, am o instanță phpLDAPadmin care are scopul de a mă ajuta să gestionez acest domeniu.
Am și o sucursală undeva în acest domeniu (să zicem, ou=foo,ou=bar,dc=baz,dc=exemplu,dc=org).
Am și un utilizator (să zicem, uid=admin,ou=bar,dc=baz,dc=exemplu,dc=org).
Am acordat niște permisiuni acestui utilizator pentru a-i lăsa să gestioneze ramura pe care am menționat-o mai înainte (olcAccess: la dn.subtree="ou=foo,ou=bar,dc=baz,dc=example,dc=org" de la dn.exact="uid=admin,ou=bar,dc=baz,dc=example, dc=org" gestionează).
Problema este că acest utilizator nu poate folosi phpLDAPadmin, deoarece serverul OpenLDAP își propagă DN-ul de bază (prin anunțarea namingContext: dc=exemplu,dc=org atribut, cred), la care utilizatorul nu are acces. Deci, phpLDAPadmin încearcă să arate utilizatorului conținutul dc=exemplu,dc=org, eșuează și deplânge că „Această bază nu poate fi creată cu PLA”.
Cum să faceți afișarea phpLDAPdmin ou=foo,ou=bar,dc=baz,dc=exemplu,dc=org ca DN de bază pentru acest utilizator în loc să încerce să le arate dc=exemplu,dc=org care nu este deloc accesibil?
Există o modalitate de a face ca OpenLDAP să anunțe cu un alt mod namingContext (ou=foo,ou=bar,dc=baz,dc=exemplu,dc=org) către utilizator?
Sau ar trebui să uit această idee și să acord utilizatorului acces numai în citire la fiecare concediu din partea de sus (dc=exemplu,dc=org, dc=baz,dc=exemplu,dc=org, ou=bar,dc=baz,dc=exemplu,dc=org)?
Mulțumesc.
