ACL's Curie¶
La 0 es para que los usuarios puedan escribir sus preguntas de seguridad.
Cada uno puede escribir el atributo pwmResponseSet.¶
{0}to attrs=pwmResponseSet by self write by dn="cn=admin,dc=interio r,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interi or,dc=udelar,dc=edu,dc=uy" write by * auth
Desde la 1 a la 5, hace que los administradores de cada regional puedan resetear la contraseña de los miembros de su regional.
Estan enlazadas por un break, para abarcar el caso en que un usuario pertenezca a varias regionales.¶
olcAccess: {1}to attrs=userPassword,shadowLastChange filter=(memberof=cn=cut,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy) by self write by dn="cn=admin,dc =interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,d c=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cut,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {2}to attrs=userPassword,shadowLastChange filter=(memberof=cn=cure, ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy) by self write by dn="cn=admin,d c=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos, dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cure,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {3}to attrs=userPassword,shadowLastChange filter=(memberof=cn=cur,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy) by self write by dn="cn=admin,dc =interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,d c=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cur,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {4}to attrs=userPassword,shadowLastChange filter=(memberof=cn=cci,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy) by self write by dn="cn=admin,dc =interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,d c=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cci,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {5}to attrs=userPassword,shadowLastChange filter=(memberof=cn=cup,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy) by self write by dn="cn=admin,dc =interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,d c=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cup,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth
La 6 es para que la contraseña solo la puedan cambiar los administradores, y cada unos pueda cambiar su contraseña.¶
olcAccess: {6}to attrs=userPassword,shadowLastChange by self write by dn="cn=a dmin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=g rupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth
La 7 es para dar acceso de lectura a la base del arbol.¶
olcAccess: {7}to dn.base="" by anonymous none by * read
Desde la 8 a la 12, es para que cada administrador regional solo puede agregar o quitar usuarios solo a su sede. Escribir el atributo member.¶
olcAccess: {8}to dn.base="cn=cut,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cut,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth olcAccess: {9}to dn.base="cn=cure,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy " attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write b y group.exact="cn=admins,cn=cure,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy " write by * auth olcAccess: {10}to dn.base="cn=cur,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cur,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth olcAccess: {11}to dn.base="cn=cci,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy " attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write b y group.exact="cn=admins,cn=cci,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth olcAccess: {12}to dn.base="cn=cup,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy " attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write b y group.exact="cn=admins,cn=cup,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth
Desde la 13 a la 17, es para que la cuenta login que se utiliza para conectar los servicios al ldap, solo puedan ver a los miembros de su servicio.
Estan enlazadas por un break, para abarcar el caso en que un usuario tenga acceso a varios servicios.¶
olcAccess: {13}to filter=(&(objectclass=inetOrgPerson)(!(memberof=cn=sympa,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy))) by dn="cn=login,cn=sympa,ou=grup os,dc=interior,dc=udelar,dc=edu,dc=uy" none by dn="cn=admin,dc=interior,dc=ud elar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=u delar,dc=edu,dc=uy" write by * break olcAccess: {14}to filter=(&(objectclass=inetOrgPerson)(!(memberof=cn=zimbra,ou =grupos,dc=interior,dc=udelar,dc=edu,dc=uy))) by dn="cn=login,cn=zimbra,ou=gr upos,dc=interior,dc=udelar,dc=edu,dc=uy" none by dn="cn=admin,dc=interior,dc= udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc =udelar,dc=edu,dc=uy" write by * break olcAccess: {15}to filter=(&(objectclass=inetOrgPerson)(!(memberof=cn=openfire, ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy))) by dn="cn=login,cn=openfire,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" none by dn="cn=admin,dc=interior ,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interio r,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {16}to filter=(&(objectclass=inetOrgPerson)(!(memberof=cn=owncloud, ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy))) by dn="cn=login,cn=owncloud,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" none by dn="cn=admin,dc=interior ,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interio r,dc=udelar,dc=edu,dc=uy" write by * break olcAccess: {17}to filter=(&(objectclass=inetOrgPerson)(!(memberof=cn=redmine,o u=grupos,dc=interior,dc=udelar,dc=edu,dc=uy))) by dn="cn=login,cn=redmine,ou= grupos,dc=interior,dc=udelar,dc=edu,dc=uy" none by dn="cn=admin,dc=interior,d c=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior, dc=udelar,dc=edu,dc=uy" write by * read
Desde la 18 a la 20, es para que a los servicos owncloud, sympa y zimbra, solo los administradores de cada servicio, puedan dar acceso a los usuarios. Escribir el atributo member.¶
olcAccess: {18}to dn.base="cn=sympa,ou=grupos,dc=interior,dc=udelar,dc=edu,dc= uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=sympa,ou=grupos,dc=interior,dc=udelar,dc=edu,dc =uy" write by * auth olcAccess: {19}to dn.base="cn=zimbra,ou=grupos,dc=interior,dc=udelar,dc=edu,dc =uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" writ e by group.exact="cn=admins,cn=zimbra,ou=grupos,dc=interior,dc=udelar,dc=edu, dc=uy" write by * auth olcAccess: {20}to dn.base="cn=owncloud,ou=grupos,dc=interior,dc=udelar,dc=edu, dc=uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" wri te by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" wr ite by group.exact="cn=admins,cn=owncloud,ou=grupos,dc=interior,dc=udelar,dc= edu,dc=uy" write by * auth
La 21 y 22, es para los servicios openfire y redmine, los administradores y todos los administradores de cada regional puedan dar acceso a esos servicios. Escribir el atributo member.¶
olcAccess: {21}to dn.base="cn=openfire,ou=grupos,dc=interior,dc=udelar,dc=edu, dc=uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" wri te by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" wr ite by group.exact="cn=admins,cn=cup,ou=grupos,dc=interior,dc=udelar,dc=edu,d c=uy" write by group.exact="cn=admins,cn=cur,ou=grupos,dc=interior,dc=udelar, dc=edu,dc=uy" write by group.exact="cn=admins,cn=cure,ou=grupos,dc=interior,d c=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cut,ou=grupos,dc=in terior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cci,ou=grup os,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth olcAccess: {22}to dn.base="cn=redmine,ou=grupos,dc=interior,dc=udelar,dc=edu,d c=uy" attrs="member" by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" writ e by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" wri te by group.exact="cn=admins,cn=cup,ou=grupos,dc=interior,dc=udelar,dc=edu,dc =uy" write by group.exact="cn=admins,cn=cur,ou=grupos,dc=interior,dc=udelar,d c=edu,dc=uy" write by group.exact="cn=admins,cn=cure,ou=grupos,dc=interior,dc =udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cut,ou=grupos,dc=int erior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,cn=cci,ou=grupo s,dc=interior,dc=udelar,dc=edu,dc=uy" write by * auth
La 23 es para dar acceso total sobre todo el arbol al usuario admin y los administradores, que los anónimos no puedan ver nada, y los demas leer.¶
olcAccess: {23}to * by dn="cn=admin,dc=interior,dc=udelar,dc=edu,dc=uy" write by group.exact="cn=admins,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" write by anonymous none by * read
A continuación, puedes consultar las tareas de LDAP administración del LDAP