external/bsd/openldap/man/slapacl.8

   1 .TH SLAPACL 8C "2008/07/16" "OpenLDAP 2.4.11"
   2 .\" Copyright 2004-2008 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .SH NAME
   5 slapacl \- Check access to a list of attributes.
   6 .SH SYNOPSIS
   7 .B /usr/sbin/slapacl
   8 .B \-b DN
   9 .B [\-d level]
  10 .B [\-D authcDN | \-U authcID]
  11 .B [\-f slapd.conf]
  12 .B [\-F confdir]
  13 .B [\-o name[=value]]
  14 .B [\-u]
  15 .B [\-v]
  16 .B [\-X authzID | \-o authzDN=DN]
  17 .B [attr[/access][:value]] [...]
  18 .LP
  19 .SH DESCRIPTION
  20 .LP
  21 .B Slapacl
  22 is used to check the behavior of the slapd in verifying access to data
  23 according to ACLs, as specified in
  24 .BR slapd.access (5).
  25 It opens the
  26 .BR slapd.conf (5)
  27 configuration file, reads in the
  28 .B access
  29 directives, and then parses the
  30 .B attr
  31 list given on the command-line; if none is given, access to the
  32 .B entry
  33 pseudo-attribute is tested.
  34 .LP
  35 .SH OPTIONS
  36 .TP
  37 .BI \-b " DN"
  38 specify the
  39 .B DN
  40 which access is requested to; the corresponding entry is fetched
  41 from the database, and thus it must exist.
  42 The DN is also used to determine what rules apply; thus, it must be
  43 in the naming context of a configured database.  See also
  44 .BR \-u .
  45 .TP
  46 .BI \-d " level"
  47 enable debugging messages as defined by the specified
  48 .IR level ;
  49 see
  50 .BR slapd (8)
  51 for details.
  52 .TP
  53 .BI \-D " authcDN"
  54 specify a DN to be used as identity through the test session
  55 when selecting appropriate
  56 .B <by>
  57 clauses in access lists.
  58 .TP
  59 .BI \-f " slapd.conf"
  60 specify an alternative
  61 .BR slapd.conf (5)
  62 file.
  63 .TP
  64 .BI \-F " confdir"
  65 specify a config directory.
  66 If both
  67 .B -f
  68 and
  69 .B -F
  70 are specified, the config file will be read and converted to
  71 config directory format and written to the specified directory.
  72 If neither option is specified, an attempt to read the
  73 default config directory will be made before trying to use the default
  74 config file. If a valid config directory exists then the
  75 default config file is ignored.
  76 .TP
  77 .BI \-o " option[=value]"
  78 Specify an
  79 .BR option
  80 with a(n optional)
  81 .BR value .
  82 Possible generic options/values are:
  83 .LP
  84 .nf
  85               syslog=<subsystems>  (see `\-s' in slapd(8))
  86               syslog-level=<level> (see `\-S' in slapd(8))
  87               syslog-user=<user>   (see `\-l' in slapd(8))
  88
  89 .fi
  90 .RS
  91 Possible options/values specific to
  92 .B slapacl
  93 are:
  94 .RE
  95 .nf
  96
  97               authzDN
  98               domain
  99               peername
 100               sasl_ssf
 101               sockname
 102               sockurl
 103               ssf
 104               tls_ssf
 105               transport_ssf
 106
 107 .fi
 108 .RS
 109 See the related fields in
 110 .BR slapd.access (5)
 111 for details.
 112 .RE
 113 .TP
 114 .BI \-u
 115 do not fetch the entry from the database.
 116 In this case, if the entry does not exist, a fake entry with the DN
 117 given with the
 118 .B \-b
 119 option is used, with no attributes.
 120 As a consequence, those rules that depend on the contents
 121 of the target object will not behave as with the real object.
 122 The DN given with the
 123 .B \-b
 124 option is still used to select what rules apply; thus, it must be
 125 in the naming context of a configured database.
 126 See also
 127 .BR \-b .
 128 .TP
 129 .BI \-U " authcID"
 130 specify an ID to be mapped to a
 131 .B DN
 132 as by means of
 133 .B authz-regexp
 134 or
 135 .B authz-rewrite
 136 rules (see
 137 .BR slapd.conf (5)
 138 for details); mutually exclusive with
 139 .BR \-D .
 140 .TP
 141 .B \-v
 142 enable verbose mode.
 143 .TP
 144 .BI \-X " authzID"
 145 specify an authorization ID to be mapped to a
 146 .B DN
 147 as by means of
 148 .B authz-regexp
 149 or
 150 .B authz-rewrite
 151 rules (see
 152 .BR slapd.conf (5)
 153 for details); mutually exclusive with \fB\-o\fP \fIauthzDN=DN\fP.
 154 .SH EXAMPLES
 155 The command
 156 .LP
 157 .nf
 158 .ft tt
 159         /usr/sbin/slapacl -f //etc/openldap/slapd.conf -v \\
 160             -U bjorn -b "o=University of Michigan,c=US" \\
 161             "o/read:University of Michigan"
 162
 163 .ft
 164 .fi
 165 tests whether the user
 166 .I bjorn
 167 can access the attribute
 168 .I o
 169 of the entry
 170 .I o=University of Michigan,c=US
 171 at
 172 .I read
 173 level.
 174 .SH "SEE ALSO"
 175 .BR ldap (3),
 176 .BR slapd (8)
 177 .BR slaptest (8)
 178 .BR slapauth (8)
 179 .LP
 180 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 181 .SH ACKNOWLEDGEMENTS
 182 .\" Shared Project Acknowledgement Text
 183 .B "OpenLDAP Software"
 184 is developed and maintained by The OpenLDAP Project <http://www.openldap.org/>.
 185 .B "OpenLDAP Software"
 186 is derived from University of Michigan LDAP 3.3 Release.