私は最近組織に参加し、アイテムを追加/削除したり、LDAP(OpenDJ ldapとオープンソースLINUXデフォルトのldap)に属性を追加したりする権限がありました。
これまで問題なく数千の修正と属性を追加しましたが、LDAPに属性を追加すると(値(IPなど)の1つを見た直後に混乱しているように見えます)、とてもパニックになってすぐに削除してディレクトリマネージャ資格情報で問題を修正しました。
私は、LDAP管理者が電話をかけて、ディレクトリ管理者パスワードを使用してLDAPデータベースを破損する可能性のあるコンテンツを追加するためにディレクトリ管理者アクセスを使用しないように言いました。私はそれを信じておらず、方法を尋ねましたが、答えはありませんでした。
特殊グループと特殊属性の値を変更すると、LDAP 全体が実際に破損しますか?
どんな説明でも役に立ちます。
答え1
ポイントはアカウントですcn=カタログマネージャインストール時に生成され、残りのインストールプログラムを実行するために使用されます。 (詳細は忘れてしまったが、オープンDJこれらの管理項目は複数許可されています。 )
重要なのは、これらの管理エンティティにはアクセス制御や制限が適用されないことです。具体的には、cn = configのデータベースバックエンド構成が混乱する可能性があります。これは自分の足を撃つのに最適なアカウントです。
したがって、私はあなたのLDAP管理者の意見に同意します。そうしないでください。
OpenDJが適切に承認した個人管理者アカウントを使用してください。ACI設定。また、誰が何をしたかについてのより良いログとタスクのプロパティ情報を提供します。