git.sur5r.net Git - openldap/blob - doc/man/man8/slapacl.8

   1 .TH SLAPACL 8C "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2004-2009 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .\" $OpenLDAP$
   5 .SH NAME
   6 slapacl \- Check access to a list of attributes.
   7 .SH SYNOPSIS
   8 .B SBINDIR/slapacl
   9 .B \-b DN
  10 .B [\-d level]
  11 .B [\-D authcDN | \-U authcID]
  12 .B [\-f slapd.conf]
  13 .B [\-F confdir]
  14 .B [\-o name[=value]]
  15 .B [\-u]
  16 .B [\-v]
  17 .B [\-X authzID | \-o authzDN=DN]
  18 .B [attr[/access][:value]] [...]
  19 .LP
  20 .SH DESCRIPTION
  21 .LP
  22 .B slapacl
  23 is used to check the behavior of
  24 .BR slapd (8)
  25 by verifying access to directory data according to the access control list
  26 directives defined in its configuration.
  27 .
  28 It opens the
  29 .BR slapd.conf (5)
  30 configuration file or the
  31 .BR slapd-config (5)
  32 backend, reads in the
  33 .B access/olcAccess
  34 directives, and then parses the
  35 .B attr
  36 list given on the command-line; if none is given, access to the
  37 .B entry
  38 pseudo-attribute is tested.
  39 .LP
  40 .SH OPTIONS
  41 .TP
  42 .BI \-b " DN"
  43 specify the
  44 .B DN
  45 which access is requested to; the corresponding entry is fetched
  46 from the database, and thus it must exist.
  47 The DN is also used to determine what rules apply; thus, it must be
  48 in the naming context of a configured database.  See also
  49 .BR \-u .
  50 .TP
  51 .BI \-d " level"
  52 enable debugging messages as defined by the specified
  53 .IR level ;
  54 see
  55 .BR slapd (8)
  56 for details.
  57 .TP
  58 .BI \-D " authcDN"
  59 specify a DN to be used as identity through the test session
  60 when selecting appropriate
  61 .B <by>
  62 clauses in access lists.
  63 .TP
  64 .BI \-f " slapd.conf"
  65 specify an alternative
  66 .BR slapd.conf (5)
  67 file.
  68 .TP
  69 .BI \-F " confdir"
  70 specify a config directory.
  71 If both
  72 .B -f
  73 and
  74 .B -F
  75 are specified, the config file will be read and converted to
  76 config directory format and written to the specified directory.
  77 If neither option is specified, an attempt to read the
  78 default config directory will be made before trying to use the default
  79 config file. If a valid config directory exists then the
  80 default config file is ignored.
  81 .TP
  82 .BI \-o " option[=value]"
  83 Specify an
  84 .BR option
  85 with a(n optional)
  86 .BR value .
  87 Possible generic options/values are:
  88 .LP
  89 .nf
  90               syslog=<subsystems>  (see `\-s' in slapd(8))
  91               syslog-level=<level> (see `\-S' in slapd(8))
  92               syslog-user=<user>   (see `\-l' in slapd(8))
  93
  94 .fi
  95 .RS
  96 Possible options/values specific to
  97 .B slapacl
  98 are:
  99 .RE
 100 .nf
 101
 102               authzDN
 103               domain
 104               peername
 105               sasl_ssf
 106               sockname
 107               sockurl
 108               ssf
 109               tls_ssf
 110               transport_ssf
 111
 112 .fi
 113 .RS
 114 See the related fields in
 115 .BR slapd.access (5)
 116 for details.
 117 .RE
 118 .TP
 119 .BI \-u
 120 do not fetch the entry from the database.
 121 In this case, if the entry does not exist, a fake entry with the DN
 122 given with the
 123 .B \-b
 124 option is used, with no attributes.
 125 As a consequence, those rules that depend on the contents
 126 of the target object will not behave as with the real object.
 127 The DN given with the
 128 .B \-b
 129 option is still used to select what rules apply; thus, it must be
 130 in the naming context of a configured database.
 131 See also
 132 .BR \-b .
 133 .TP
 134 .BI \-U " authcID"
 135 specify an ID to be mapped to a
 136 .B DN
 137 as by means of
 138 .B authz-regexp
 139 or
 140 .B authz-rewrite
 141 rules (see
 142 .BR slapd.conf (5)
 143 for details); mutually exclusive with
 144 .BR \-D .
 145 .TP
 146 .B \-v
 147 enable verbose mode.
 148 .TP
 149 .BI \-X " authzID"
 150 specify an authorization ID to be mapped to a
 151 .B DN
 152 as by means of
 153 .B authz-regexp
 154 or
 155 .B authz-rewrite
 156 rules (see
 157 .BR slapd.conf (5)
 158 for details); mutually exclusive with \fB\-o\fP \fIauthzDN=DN\fP.
 159 .SH EXAMPLES
 160 The command
 161 .LP
 162 .nf
 163 .ft tt
 164         SBINDIR/slapacl -f ETCDIR/slapd.conf -v \\
 165             -U bjorn -b "o=University of Michigan,c=US" \\
 166             "o/read:University of Michigan"
 167
 168 .ft
 169 .fi
 170 tests whether the user
 171 .I bjorn
 172 can access the attribute
 173 .I o
 174 of the entry
 175 .I o=University of Michigan,c=US
 176 at
 177 .I read
 178 level.
 179 .SH "SEE ALSO"
 180 .BR ldap (3),
 181 .BR slapd (8)
 182 .BR slaptest (8)
 183 .BR slapauth (8)
 184 .LP
 185 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 186 .SH ACKNOWLEDGEMENTS
 187 .so ../Project