我尝试指定管理员用户来执行更新架构。
这是
中的global-aci'cn=Access Control Handler,cn=config'
ds-cfg-global-aci: (target="ldap:///cn=schema")(targetattr="*")(version 3.0; acl "admin user can update schema"; allow (all,import,export) userdn="ldap:///uid=admin,ou=People,ou=Subjects,dc=example,dc=com";)
管理员用户已分配: ds-privilege-name:subentry-write ds-privilege-name:update-schema
如果我再给这个用户一个特权,
ds-privilege-name: bypass-acl
然后这个'admin'用户可以添加修改cn=schema
,添加属性。
但如果我删除'ds-privilege-name: bypass-acl'
,则会再次抛出异常。
很明显我的global-aci
不起作用?
我是否需要cn=schema
的任何其他aci设置,以使用户能够更新架构?
答案 0 :(得分:0)
cn=schema
下的属性是操作属性。
我建议将(targetattr="*")
更改为(targetattr="*||+")