From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <406AA34A.3050005@mail.ru> Date: Wed, 31 Mar 2004 16:54:02 +0600 From: BSW User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.4) Gecko/20030627 X-Accept-Language: ru, en-us, en MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] ldap References: <40697320.5010102@iop.kiev.ua> <406A37E2.4030707@mail.ru> <406A8FBE.2030901@iop.kiev.ua> In-Reply-To: <406A8FBE.2030901@iop.kiev.ua> X-Enigmail-Version: 0.76.1.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-U; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.4 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 31 Mar 2004 10:54:04 -0000 Archived-At: List-Archive: List-Post: Andriy Dobrovol's'kii wrote: > Вон оно что... Я это трактовал несколько иначе... Думал, что разрешаю > пользователю самостоятельно изменять свои данные. А как тогда добиться > желаемого? Так он (наверняка) мог менять свои данные :-). Проблема, как я понимаю, в том, что юзер является self только для собственной учетной записи (своего dn), для остальных - он просто юзер. Пробелму можно решить двумя способами: - разрешить юзеру изменять только некоторые атрибуты (зачем ему менять objectClass?) access to attr=attr1,attr2,... by self write by <остальное по вкусу> access to * by users read by anonymous auth by * none - отдать юзеру его dn целиком, все остальное - только на чтение access to * by self write by users read by anonymous auth by * none Т.е. нужно явно указать write для self, и read для users. Причем важен еще и порядок, если by * none написать раньше, чем by self write, то все ловко обломаются.