BlogJava-Java-随笔分类-LDAPhttp://www.blogjava.net/rapin/category/45508.htmlLMLzh-cnTue, 06 Jul 2010 08:59:53 GMTTue, 06 Jul 2010 08:59:53 GMT60IBM TDS 权限问题 LDAP: error code 50http://www.blogjava.net/rapin/archive/2010/07/06/325379.htmlrapinrapinTue, 06 Jul 2010 08:57:00 GMThttp://www.blogjava.net/rapin/archive/2010/07/06/325379.htmlhttp://www.blogjava.net/rapin/comments/325379.htmlhttp://www.blogjava.net/rapin/archive/2010/07/06/325379.html#Feedback0http://www.blogjava.net/rapin/comments/commentRss/325379.htmlhttp://www.blogjava.net/rapin/services/trackbacks/325379.htmlTivoli Directory Server6.2(以下简称TDS)

使用普通用户的账号(非:管理员)密码进入LDAP后,要修改密码。
就是简单的modifyAttributes操作userPassword属性。
提示如下错误:
javax.naming.NoPermissionException: [LDAP: error code 50 - Insufficient Access Rights]; remaining name

大概知道是TDS中访问控制(ACL)的配置问题
折腾半天终于弄明白了这其中的意思,这些写下来给有缘者帮助。

ACL配置大概意思就是
对指定的目录,限制性的开放权限给用户,或者组。

下面通过操作来说下我的理解:

默认普通用户条目是能查看所有条目,不允许编辑任何条目,包括密码
期望实现配置:普通用户可以修改密码条目,不能查看条目信息。

进入Tivoli Directory Server Web 管理工具,进入服务器后。
目录管理-->管理条目  
选中要配置的条目,在选择操作中选择《编辑ACL...》,点击执行 进入到编辑界面

有效的 ACL:其作用的ACL配置(默认有一条cn=anybody的可读的配置,当配置新的后,会覆盖它)
有效的所有者:其作用的所有者,会有一条管理员的主题DN
未过滤的 ACL:一般新建ACL在此处新建,传播选项的意思就是,是否作用于选中条目的子目录。这里我们在这个页面点击  添加 ,注意选上传播。进入到编辑页面后,在主题DN输入  cn=Authenticated    。主题DN指的是   要限制的用户或者用户
cn=Authenticated是伪DN,指所有通过验证的用户。其他伪DN还有:cn=anybody(任何用户,包括匿名),cn=this(当前选择的条目)。

主题角色:我选的是角色,按TDS文档cn=Authenticated 应该是组,可是选了那个建不了,求解.
下面
属性:因为是要允许修改密码,因此选择userPassword点击 定义下面列表出现后   读写选择授权。
然后点击确定返回到未过滤的 ACL的页面 注意 在此页面再点击一次确定。我就经常忘了在这页面点确定,然后没保存 

另说下
所有者:指的是这个条目的所有者,添加




rapin 2010-07-06 16:57 发表评论
]]>操作active Directory,“安全”标签http://www.blogjava.net/rapin/archive/2009/12/25/307287.htmlrapinrapinFri, 25 Dec 2009 08:29:00 GMThttp://www.blogjava.net/rapin/archive/2009/12/25/307287.htmlhttp://www.blogjava.net/rapin/comments/307287.htmlhttp://www.blogjava.net/rapin/archive/2009/12/25/307287.html#Feedback0http://www.blogjava.net/rapin/comments/commentRss/307287.htmlhttp://www.blogjava.net/rapin/services/trackbacks/307287.html 大概意思就是,用程序去创建一个计算机后,要给某个用户权限,允许这个用户把这个计算机加入到域。
可以用命令来实现的话也可以。
高手们快快现身,帮帮小弟吧~~~


























----------------------------------------------------------------------------------------------
结果没有实现
过程大概如下:
使用dsacls命令 例如给与test345用户把计算机<cn=test345,ou=计算机,ou=模具公司,ou=深圳市,dc=test,dc=ad>加入域的命令如下:
dsacls cn=test345,ou=计算机,ou=模具公司,ou=深圳市,dc=test,dc=ad /G test345@test.ad:GA

每次创建一个计算机的时候执行命令。前提条件是需要安装dsacls工具,安装文件在windows2003安装盘的SUPPORT/TOOLS/SUPTOOLS.MSI
没有实现的原因是实现不了远程执行这个命令。

按照msdn上说的:
----------------------------------------------------
DsAcls 使用以下语法:
FAILED TO TRANSLATE SENTENCE
您可以使用以下参数: Dsacls.exe
  • 对象 : 这是到目录服务对象基于它来显示或更改 ACL 路径。 此路径必须是可分辨名称 (也称为 RFC 1779 或 x.500 格式)。 例如:
    CN = Com = 软件, OU = 工程, DC = Microsoft, DC = 某人, OU
    要指定服务器, 添加 \\Servername\ 对象之前。 例如:
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
----------------------------------------
添加了服务器后,
dsacls \\test.ad\cn=test345,ou=计算机,ou=模具公司,ou=深圳市,dc=test,dc=ad /G test345@test.ad:GA
执行提示密码不行。
希望知道原因的朋友,联系下小弟,了结这痛。

rapin 2009-12-25 16:29 发表评论
]]>