Das Linux-Verzeichnis LDAP

Den Zugriff regeln

Bislang haben wir für unsere Beispiele stets den Administrations-Account verwendet – und das aus gutem Grund: Jeder Versuch, mit einer anderen Kennung auf die Daten zuzugreifen, wäre mit hoher Wahrscheinlichkeit fehlgeschlagen. Es fehlen nämlich noch die Zugriffsrechte in der slapd.conf.

Dabei müssen Sie beachten, dass die Reihenfolge der Rechtedefinitionen von entscheidender Bedeutung ist. Sie müssen stets vom Feinen zum Groben sortiert in der Konfigurationsdatei stehen, da die erste zutreffende Regel verwendet wird. Dies gilt sowohl für die Bereiche, auf die der Zugriff erfolgen soll, wie auch für die unterschiedlichen Benutzergruppen, die Zugriff erhalten sollen. Ein Beispiel verdeutlicht das:

access to dn.children=“ou=Adressen,dc=tecchannel,dc=lab“
by users write
by * read

access to dn.children=“ou=Users,dc=tecchannel,dc=lab“
by self write
by users read
by * auth

access to *
by * search

Über diese Definitionen legen Sie fest, dass authentifizierte Nutzer („users“) Einträge im Bereich „Adressen“ nicht nur abrufen, sondern auch ändern dürfen. Alle anderen – auch anonyme – Anwender, dürfen die Daten aus diesem Bereich lesen. Etwas eingeschränkter stellt sich die Situation für die im Zweig „Users“ abgelegten Daten dar. Hier hat nur der Besitzer („self“) selbst Schreibzugriff, während authentifizierte Nutzer nur noch Leserecht haben. Anonyme Anwender können sich mit Hilfe der Daten im Bereich „Users“ authentifizieren. Für die restlichen Bereiche gilt für alle Anwender lediglich das Recht, diese zu durchsuchen.

Es fällt nicht schwer, sich vorzustellen, wie komplex entsprechende Setups bei umfangreicheren Verzeichnissen werden können. Achten Sie daher stets darauf, dass alles so funktioniert, wie Sie es sich vorgestellt haben und testen Sie neue Einstellungen ausgiebig, bevor Sie diese in ein Produktivsystem übernehmen. (ala)