<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
I have used the ACL logging and is helpful a little . It does not show
the "weight" or "cost" of each acl evaluation . As David mentioned ,
may be trying it out may be the only way?! <br>
<br>
Also the logs show AC s evaluating entry/attribute rights for the
client DN for attributes neither  in the filter nor in the  attributes
to return .I was expecting to see only for the attributes in the search
filter or the returned attributes .<br>
<br>
Also the ACL Cache, what is the size ? Does this come out of entrycache
?<br>
<br>
Is ACL eval memory intensive ?<br>
Thanks<br>
<br>
Rich Megginson wrote:
<blockquote cite="mid434A7876.5020201@redhat.com" type="cite">There are
two useful ACI development utilities.  The first is the special ACL
Summary error log level.  This can provide very useful information
about ACI evaluation without the extremely verbose output of the
"regular" aci log level.  The second is the Get Effective Rights query,
so you can do queries like "If I were to BIND as user X, would I be
able to read/write this attribute?  If I were to bind as user X, what
attributes would be visible to me?".
  <br>
  <br>
Jeff Clowser wrote:
  <br>
  <br>
  <blockquote type="cite">I don't think the order in which they are
processed matters (maybe very slightly from a performance pov, but not
from a "what can I do" pov).
    <br>
    <br>
Denies take precedence over allows no matter where they are, and all
aci's are cumulative, so your access is the combined set of permissions
defined, no matter the order they are in.  Also, deny is the default,
so a lack of an aci to allow something will deny it (FWIW, I never use
deny aci's if at all possible, because there is no way to override them
with a subsequent allow - better to carefully define what you allow and
where).
    <br>
    <br>
This is much different than openldap aci's, where the order is very
important.
    <br>
    <br>
In your example, presumably anonymous will have some base level of
access, and config, directory, and group admin aci's will give
additional access.  Adding a user to each of these groups will extend
their access by what each aci allows, and putting users in more than
one of these groups will just allow them more access, but the order
they appear in doesn't matter (and given that they are in the same
entry, there is no way to specify/guarantee the order anyway).
    <br>
    <br>
- Jeff
    <br>
    <br>
discover wrote:
    <br>
    <br>
    <blockquote type="cite">Thanks David . Regarding the order of ACI ,
I meant for example, say there are 4 ACIs on dc=example,dc=com.
      <br>
One for config admins, one for directory admins, Anonymous Access and
one for group admin listed in that order. Whether this particular order
has any impact ? Or the order is insignificant ?
      <br>
      <br>
David Boreham wrote:
      <br>
      <br>
      <blockquote type="cite">discover wrote:
        <br>
        <br>
        <blockquote type="cite">Is there any way to see the order of
ACI evaluation for search/mod ...etc ? </blockquote>
        <br>
        <br>
        <br>
        <br>
Not easily. You might me able to glean some information by enabling
        <br>
access control logging and looking at the error log output when you
submit
        <br>
an operation.
        <br>
        <br>
        <blockquote type="cite">Also does the order of ACI impact the
performance ?
          <br>
        </blockquote>
        <br>
        <br>
        <br>
        <br>
Probably not. (not sure if you mean the order the aci attributes
        <br>
are added to the DS -- in that case absolutely not; or if you
        <br>
are asking about the internal ordering of clauses within a
        <br>
single aci -- in that case probably not).
        <br>
        <br>
To gain a total understanding you'd really need to step through
        <br>
the code in the debugger, which would only suit those
        <br>
with a strong constitution.
        <br>
        <br>
        <br>
        <br>
-- <br>
Fedora-directory-devel mailing list
        <br>
<a class="moz-txt-link-abbreviated" href="mailto:Fedora-directory-devel@redhat.com">Fedora-directory-devel@redhat.com</a>
        <br>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/fedora-directory-devel">https://www.redhat.com/mailman/listinfo/fedora-directory-devel</a>
        <br>
        <br>
      </blockquote>
      <br>
      <br>
-- <br>
Fedora-directory-devel mailing list
      <br>
<a class="moz-txt-link-abbreviated" href="mailto:Fedora-directory-devel@redhat.com">Fedora-directory-devel@redhat.com</a>
      <br>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/fedora-directory-devel">https://www.redhat.com/mailman/listinfo/fedora-directory-devel</a>
      <br>
    </blockquote>
    <br>
    <br>
    <br>
-- <br>
Fedora-directory-devel mailing list
    <br>
<a class="moz-txt-link-abbreviated" href="mailto:Fedora-directory-devel@redhat.com">Fedora-directory-devel@redhat.com</a>
    <br>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/fedora-directory-devel">https://www.redhat.com/mailman/listinfo/fedora-directory-devel</a>
    <br>
  </blockquote>
  <br>
  <pre wrap="">
<hr size="4" width="90%">
--
Fedora-directory-devel mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Fedora-directory-devel@redhat.com">Fedora-directory-devel@redhat.com</a>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/fedora-directory-devel">https://www.redhat.com/mailman/listinfo/fedora-directory-devel</a>
  </pre>
</blockquote>
<br>
</body>
</html>