openldap创建只读帐号

LDAP提供统一的认证服务，在与其他应用对接时，我们需要一个可以读取所有用户列表的帐号，为安全保证，此帐号不能有修改写入的权限，仅读取。

添加只读账号：

LDAP_READONLY_USER_PW='密码'
#Base DN
您暂时无权查看此隐藏内容！
EOF

导入帐号

ldapadd -x -D cn=admin,dc=uzigood,dc=tech -w '密码' -f ./readOnly.ldif

2、配置只读账号权限

LDAP_BASE_DN='dc=uzigood,dc=tech'
cat <<EOF > readonly-user-acl.ldif
dn: olcDatabase={1}mdb,cn=config
changetype: modify
delete: olcAccess
-
您暂时无权查看此隐藏内容！
EOF

应用acl

ldapmodify -Y EXTERNAL -H ldapi:/// -f readonly-user-acl.ldif

注意：

1）格式中换行要注意空格。

2）使用ldapmodify命令修改优点是服务无影响，可以正常提供服务，比直接修改配置文件灵活。