git.sur5r.net Git - openldap/blob - doc/man/man8/slapacl.8

   1 .TH SLAPACL 8C "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2004-2006 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .SH NAME
   5 slapacl \- Check access to a list of attributes.
   6 .SH SYNOPSIS
   7 .B SBINDIR/slapacl
   8 .B \-b DN
   9 .B [\-d level]
  10 .B [\-D authcDN | \-U authcID]
  11 .B [\-f slapd.conf]
  12 .B [\-F confdir]
  13 .B [\-o name[=value]
  14 .B [\-u]
  15 .B [\-v]
  16 .B [\-X authzID | \-o authzDN=DN]
  17 .B [attr[/access][:value]] [...]
  18 .LP
  19 .SH DESCRIPTION
  20 .LP
  21 .B Slapacl
  22 is used to check the behavior of the slapd in verifying access to data
  23 according to ACLs, as specified in
  24 .BR slapd.access (5).
  25 It opens the
  26 .BR slapd.conf (5)
  27 configuration file, reads in the
  28 .B access
  29 and
  30 .B defaultaccess
  31 directives, and then parses the
  32 .B attr
  33 list given on the command-line; if none is given, access to the
  34 .B entry
  35 pseudo-attribute is tested.
  36 .LP
  37 .SH OPTIONS
  38 .TP
  39 .BI \-b " DN"
  40 specify the
  41 .B DN
  42 which access is requested to; the corresponding entry is fetched
  43 from the database, and thus it must exist.
  44 The DN is also used to determine what rules apply; thus, it must be
  45 in the naming context of a configured database.  See also
  46 .BR \-u .
  47 .TP
  48 .BI \-d " level"
  49 enable debugging messages as defined by the specified
  50 .IR level ;
  51 see
  52 .BR slapd (8)
  53 for details.
  54 .TP
  55 .BI \-D " authcDN"
  56 specify a DN to be used as identity through the test session
  57 when selecting appropriate
  58 .B <by>
  59 clauses in access lists.
  60 .TP
  61 .BI \-f " slapd.conf"
  62 specify an alternative
  63 .BR slapd.conf (5)
  64 file.
  65 .TP
  66 .BI \-F " confdir"
  67 specify a config directory.
  68 If both
  69 .B -f
  70 and
  71 .B -F
  72 are specified, the config file will be read and converted to
  73 config directory format and written to the specified directory.
  74 If neither option is specified, an attempt to read the
  75 default config directory will be made before trying to use the default
  76 config file. If a valid config directory exists then the
  77 default config file is ignored.
  78 .TP
  79 .BI \-o " option[=value]"
  80 Specify an
  81 .BR option
  82 with a(n optional)
  83 .BR value .
  84 Possible generic options/values are:
  85 .LP
  86 .nf
  87               syslog=<subsystems>  (see `\-s' in slapd(8))
  88               syslog-level=<level> (see `\-S' in slapd(8))
  89               syslog-user=<user>   (see `\-l' in slapd(8))
  90
  91 .fi
  92 .RS
  93 Possible options/values specific to
  94 .B slapacl
  95 are:
  96 .RE
  97 .nf
  98
  99               authzDN
 100               domain
 101               peername
 102               sasl_ssf
 103               sockname
 104               sockurl
 105               ssf
 106               tls_ssf
 107               transport_ssf
 108
 109 .fi
 110 .RS
 111 See the related fields in
 112 .BR slapd.access (5)
 113 for details.
 114 .RE
 115 .TP
 116 .BI \-u
 117 do not fetch the entry from the database.
 118 In this case, if the entry does not exist, a fake entry with the DN
 119 given with the
 120 .B \-b
 121 option is used, with no attributes.
 122 As a consequence, those rules that depend on the contents
 123 of the target object will not behave as with the real object.
 124 The DN given with the
 125 .B \-b
 126 option is still used to select what rules apply; thus, it must be
 127 in the naming context of a configured database.
 128 See also
 129 .BR \-b .
 130 .TP
 131 .BI \-U " authcID"
 132 specify an ID to be mapped to a
 133 .B DN
 134 as by means of
 135 .B authz-regexp
 136 or
 137 .B authz-rewrite
 138 rules (see
 139 .BR slapd.conf (5)
 140 for details); mutually exclusive with
 141 .BR \-D .
 142 .TP
 143 .B \-v
 144 enable verbose mode.
 145 .TP
 146 .BI \-X " authzID"
 147 specify an authorization ID to be mapped to a
 148 .B DN
 149 as by means of
 150 .B authz-regexp
 151 or
 152 .B authz-rewrite
 153 rules (see
 154 .BR slapd.conf (5)
 155 for details); mutually exclusive with \fB\-o\fP \fIauthzDN=DN\fP.
 156 .SH EXAMPLES
 157 The command
 158 .LP
 159 .nf
 160 .ft tt
 161         SBINDIR/slapacl -f /ETCDIR/slapd.conf -v \\
 162             -U bjorn -b "o=University of Michigan,c=US" \\
 163             "o/read:University of Michigan"
 164
 165 .ft
 166 .fi
 167 tests whether the user
 168 .I bjorn
 169 can access the attribute
 170 .I o
 171 of the entry
 172 .I o=University of Michigan,c=US
 173 at
 174 .I read
 175 level.
 176 .SH "SEE ALSO"
 177 .BR ldap (3),
 178 .BR slapd (8)
 179 .BR slaptest (8)
 180 .BR slapauth (8)
 181 .LP
 182 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 183 .SH ACKNOWLEDGEMENTS
 184 .so ../Project