访问权限不足:由于访问权限不足,无法修改条目cn = schema

时间:2016-12-06 04:08:56

标签: opendj

我尝试指定管理员用户来执行更新架构。

这是

中的global-aci
'cn=Access Control Handler,cn=config'
ds-cfg-global-aci: (target="ldap:///cn=schema")(targetattr="*")(version 3.0; acl "admin user can update schema"; allow (all,import,export) userdn="ldap:///uid=admin,ou=People,ou=Subjects,dc=example,dc=com";)

管理员用户已分配: ds-privilege-name:subentry-write ds-privilege-name:update-schema

如果我再给这个用户一个特权,

ds-privilege-name: bypass-acl

然后这个'admin'用户可以添加修改cn=schema,添加属性。

但如果我删除'ds-privilege-name: bypass-acl',则会再次抛出异常。

很明显我的global-aci不起作用? 我是否需要cn=schema的任何其他aci设置,以使用户能够更新架构?

1 个答案:

答案 0 :(得分:0)

cn=schema下的属性是操作属性。 我建议将(targetattr="*")更改为(targetattr="*||+")