linux – 允许用户更改密码的OpenLDAP ACL

access to attrs=userPassword
        by self write
        by anonymous auth
        by users none

access to * by * read

(请注意,出于安全原因,您不希望每个人都能够阅读UserPassword属性 – 这将允许人们浏览您的影子/加密密码并轻松地针对他们运行破解程序.)

编辑以添加对上述attrs = userPassword ACL访问权限的请求说明

通过自我写
登录用户可以编写(更改)自己的userPassword属性 – 这可以让您更改密码.

通过匿名身份验证
匿名用户(匿名绑定到目录的用户 – 也就是说,没有指定DN和密码)可以访问userPassword,仅用于身份验证(他们无法访问它以用于任何其他目的,例如搜索或浏览) .

用户没有这会拒绝登录用户访问其他任何人的userPassword属性.从理论上讲,这也可以是auth,但通常(至少在我的环境中)登录用户不需要作为另一个用户进行身份验证/绑定.