[Comm] ldap

[BSW]

Andriy Dobrovol's'kii wrote:
> Вон оно что... Я это трактовал несколько иначе... Думал, что разрешаю 
> пользователю самостоятельно изменять свои данные. А как тогда добиться 
> желаемого?
Так он (наверняка) мог менять свои данные :-). Проблема, как я понимаю, 
в том, что юзер является self только для собственной учетной записи 
(своего dn), для остальных - он просто юзер.
Пробелму можно решить двумя способами:
- разрешить юзеру изменять только некоторые атрибуты (зачем ему менять 
objectClass?)
access to attr=attr1,attr2,...
	by self write
	by <остальное по вкусу>
access to *
	by users read
	by anonymous auth
	by * none

- отдать юзеру его dn целиком, все остальное - только на чтение
access to *
	by self write
	by users read
	by anonymous auth
	by * none

Т.е. нужно явно указать write для self, и read для users. Причем важен 
еще и порядок, если by * none написать раньше, чем by self write, то все 
ловко обломаются.