主題: 如何限制ldap-client查詢的範圍?

[yhsien]

如果說我有一台OpenLDAP Server，裡面建立了公司所有人的帳號資料，且每個部門都有各自的subtree

如果說我為A部門架了一台FTP，並且透過LDAP作使用者的身分驗證，但因為ldap-client可以查詢到ldap server中所有人的資料，我又不希望其他部門的使用者也可以Login到這一台FTP

請問各位學長該如何限制ldap-client查詢的範圍

[日京三子]

如果這個ftp server 可以使用pam系統的話.........



請參照，/etc/ldap.conf 內容 :wink:

[yhsien]

如果這個ftp server 可以使用pam系統的話.........



請參照，/etc/ldap.conf 內容 :wink:

瞭解~感謝三子的回答 ^^

您的意思就是說我只要在ldap.conf設定要搜尋的BASE就可以了

但如果說我想要做到讓FTP只允許A部門與B部門可以Login，
也就是說要限制ldap-client只可以搜尋A部門subtree與B部門subtree，不知道可以做到這樣嗎?

[日京三子]

例如說，你要限制這台FTP SERVER只有名單在ou=RD 的人才找得到帳號，於是你就應該會找到下面這段：

代碼: [選擇]

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX          base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd       ou=People,
# to append the default base DN but this
# may incur a small performance impact.

因此，你應該會這麼做：

代碼: [選擇]

nss_base_passwd ou=RD,o=myCompany.com?one
nss_base_shadow ou=RD,o=myCompany.com?one
後面的 ?one ，就是用來告訴 Ldap ，不再往下搜尋。

而，這樣的設定，就會限制LDAP只在這棵樹裡面搜尋，不會往左右找。
---
所以，這告訴我們，一開始建立「樹」的分支時，良好的「規劃」是很重要的。

[jasonliao]

想請教 日京三子，如果在 nss_base_passwd 要限2個部門(mis,rd)可以登入，該用什麼樣的 filter ?
我試過
nss_base_passwd dc=abc,dc=com?sub?(|(memberOf=cn=mis,dc=abc,dc=com)(memberOf=cn=rd,dc=abc,dc=com))
nss_base_shadow dc=abc,dc=com?sub?(|(memberOf=cn=mis,dc=abc,dc=com)(memberOf=cn=rd,dc=abc,dc=com))

[日京三子]

想請教 日京三子，如果在 nss_base_passwd 要限2個部門(mis,rd)可以登入，該用什麼樣的 filter ?
我試過
nss_base_passwd dc=abc,dc=com?sub?(|(memberOf=cn=mis,dc=abc,dc=com)(memberOf=cn=rd,dc=abc,dc=com))
nss_base_shadow dc=abc,dc=com?sub?(|(memberOf=cn=mis,dc=abc,dc=com)(memberOf=cn=rd,dc=abc,dc=com))

你的樹，長得怎樣？