随笔 - 16  文章 - 22  trackbacks - 0
<2010年7月>
27282930123
45678910
11121314151617
18192021222324
25262728293031
1234567

常用链接

留言簿(3)

我参与的团队

随笔分类

随笔档案

搜索

  •  

最新评论

阅读排行榜

评论排行榜

LDAP服务器:IBM Tivoli Directory Server6.2(以下简称TDS)

使用普通用户的账号(非:管理员)密码进入LDAP后,要修改密码。
就是简单的modifyAttributes操作userPassword属性。
提示如下错误:
javax.naming.NoPermissionException: [LDAP: error code 50 - Insufficient Access Rights]; remaining name

大概知道是TDS中访问控制(ACL)的配置问题
折腾半天终于弄明白了这其中的意思,这些写下来给有缘者帮助。

ACL配置大概意思就是
对指定的目录,限制性的开放权限给用户,或者组。

下面通过操作来说下我的理解:

默认普通用户条目是能查看所有条目,不允许编辑任何条目,包括密码
期望实现配置:普通用户可以修改密码条目,不能查看条目信息。

进入Tivoli Directory Server Web 管理工具,进入服务器后。
目录管理-->管理条目  
选中要配置的条目,在选择操作中选择《编辑ACL...》,点击执行 进入到编辑界面

有效的 ACL:其作用的ACL配置(默认有一条cn=anybody的可读的配置,当配置新的后,会覆盖它)
有效的所有者:其作用的所有者,会有一条管理员的主题DN
未过滤的 ACL:一般新建ACL在此处新建,传播选项的意思就是,是否作用于选中条目的子目录。这里我们在这个页面点击  添加 ,注意选上传播。进入到编辑页面后,在主题DN输入  cn=Authenticated    。主题DN指的是   要限制的用户或者用户
cn=Authenticated是伪DN,指所有通过验证的用户。其他伪DN还有:cn=anybody(任何用户,包括匿名),cn=this(当前选择的条目)。

主题角色:我选的是角色,按TDS文档cn=Authenticated 应该是组,可是选了那个建不了,求解.
下面
属性:因为是要允许修改密码,因此选择userPassword点击 定义下面列表出现后   读写选择授权。
然后点击确定返回到未过滤的 ACL的页面 注意 在此页面再点击一次确定。我就经常忘了在这页面点确定,然后没保存 

另说下
所有者:指的是这个条目的所有者,添加


posted on 2010-07-06 16:57 rapin 阅读(2709) 评论(0)  编辑  收藏 所属分类: LDAP

只有注册用户登录后才能发表评论。


网站导航: