LDAP anonym auslesen

german

#1

Hallo,

ich würde gerne ohne Bind User bestimmte User Attribute auslesen.
Dafür habe ich schon eine ACL erstellt:

access to dn.subtree="cn=users,dc=kopano-test,dc=intranet" attrs=children,entry,uid,displayName,sn,givenName,gecos,cn,mail,mailPrimaryAddress,mailAlternativeAddress,departmentNumber,telephoneNumber,roomNumber by * read

Leider bekomme ich bei einer LDAP Suche nicht die gewünschten Ergebnisse:

[code]
root@mail:~# ldapsearch -v -x -b “uid=hannes,cn=users,dc=kopano-test,dc=intranet” cn
ldap_initialize( )
filter: (objectclass=*)
requesting: cn

extended LDIF

LDAPv3

base <uid=hannes,cn=users,dc=kopano-test,dc=intranet> with scope subtree

filter: (objectclass=*)

requesting: cn

search result

search: 2
result: 0 Success

numResponses: 1[/code]

Wenn ich die attrs= Option aus der ACL entferne bekomme ich das gewünschte Ergebnis, aber natürlich auch alle anderen Attribute des Users.

root@mail:~# ldapsearch -v -x -LLL -b "uid=hannes,cn=users,dc=kopano-test,dc=intranet" cn ldap_initialize( <DEFAULT> ) filter: (objectclass=*) requesting: cn dn: uid=hannes,cn=users,dc=kopano-test,dc=intranet cn: lastname,firstname

root@mail:~# ldapsearch -v -x -LLL -b "uid=hannes,cn=users,dc=kopano-test,dc=intranet" sambaPwdLastSet ldap_initialize( <DEFAULT> ) filter: (objectclass=*) requesting: sambaPwdLastSet dn: uid=hannes,cn=users,dc=kopano-test,dc=intranet sambaPwdLastSet: 1473428669

Danke im Voraus
lg Toni


#2

Hallo,

mangels ausreichender praktischer Expertise kann ich hier erstmal nur einen Hinweis allgemeinerer Art geben.

Zunächst wird es bei der Menge der schon existierenden ACLs wichtig sein, zu wissen, an welcher Stelle die ACL definiert wurde. Unter Umständen hat ja schon eine ACL vorher in der Kette gegriffen und es wurde nicht weiter geprüft. Siehe auch 3.4.5. Zugriffskontrolle auf das LDAP-Verzeichnis.

Man sollte vielleicht auch eher “by anonymous” anstelle “by " nehmen. "” schließt zwar Anonym ein, greift aber eben sonst auch. Ohne Ausstiegsklausel (“control”, also stop|continue|break) ist dann kaum noch auszuschliessen, dass man damit andere Dinge beeinflusst.

Ich muß mich gerade anderweitig mit dem Thema beschäftigen und schau mir das in den nächsten Tagen weiter an.

Viele Grüße,
Dirk Ahrnke

EDIT: Fehlerkorrektur


#3

Was ich vorhin vergaß zu schreiben:

Man kann über “ldap/acl/read/ips” bestimmten Systemen generell erlauben, ohne Authentifizierung das LADP abzufragen. Auch hier werden dann allerdings alle Attribute geliefert.