웹메일 주소록에 LDAP 도입을 검토하면서 테스팅을 했었습니다. 상세한 내용은 여기 튜토리얼이나 kldp의 자료를 참고하시구요. 예전 OS인증 테스팅한 내용에 이번에 아웃룩 등 주소록 연동 내용을 추가하였습니다.
http://wiki.kldp.org/wiki.php/LDAP-tip
/etc/openldap/slapd.conf 설정은 다음과 같습니다.
[root@localhost openldap]# diff slapd.conf.orig slapd.conf 71a72 > rootpw {SSHA}HwbKjO6Omoxk2Sswm8NbHZbCx9LxextJ
# grep -v "^#" /etc/openldap/slapd.conf include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/redhat/autofs.schema include /etc/openldap/schema/redhat/kerberosobject.schema
database ldbm suffix "dc=isoc,dc=com" rootdn "cn=Manager,dc=isoc,dc=com" rootpw {SSHA}HwbKjO6Omoxk2Sswm8NbHZbCx9LxextJ directory /var/lib/ldap index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial
#access control access to attr=userPassword by self write by anonymous auth by dn="cn=manager,dc=isoc,dc=com" write by * compare access to * by self write by dn="cn=manager,dc=isoc,dc=com" write by * read
여기서 people 을 ou 에 추가합니다.
dn: ou=people, dc=isoc, dc=com ou: people objectclass: organizationalUnit objectclass: domainRelatedObject associatedDomain: isoc.com
이렇게 해서 여러명의 사용자를 추가한 후 아웃룩 등의 주소록에서 접근하면 사용자 인증을 이용하지 않더라도 (아웃룩 익스프레스의 로그인 필요 체크) 누구나 다 정보를 볼 수가 있더군요.
access to * by self write by dn="cn=manager,dc=isoc,dc=com" write by * read
이 부분과 연관이 있는 듯한데 이 부분을 바꾸어주어도 똑같더군요. 이 경우 ACL을 어떻게 설정해야 사용자 인증을 한 후 정보를 볼 수가 있는 것인가요?
여기서 좀더 나가면 위에서 people 밑에 속한 사람들은 같은 정보를 모두 보여줄 수 있도록 해야하겠네요?
|