Thanks for the tip it put me on the right track.  It turns out the
anonymous access is turned on by default, with the exception of <br>
the userPassword attribute.  This is the aci for dc=ite,dc=gmu,dc=edu:<br>
<br>
(targetattr != "userPassword") <br>
(version 3.0;<br>
acl "Enable Anonymous Access";<br>
allow (read,compare,search)<br>
(userdn = "<a href="ldap:///anyone">ldap:///anyone</a>")<br>
;)<br><br>
modifying the targetattr to be "userPassword || employeeNumber" gave me the expected default hidden behaviour for<br>
employeeNumber.  Now adding the following aci to ou=People,dc=ite.dc=gmu,dc=edu:<br>
<br>
(targetattr = "employeeNumber") <br>
(version 3.0;acl "Allow self to view employeeNumber";<br>
allow (read,search)(userdn = "<a href="ldap:///self">ldap:///self</a>")<br>
;)<br>
<br>
Gives me exactly the behaviour I was hoping for.  Thanks again for the tip.<br>
<br><div><span class="gmail_quote">On 7/28/05, <b class="gmail_sendername">Rich Megginson</b> <<a href="mailto:rmeggins@redhat.com">rmeggins@redhat.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">



  
  


By default, FDS will restrict access to everything - that is, you don't
need to have an explicit deny unless you have another ACI somewhere
that allows other attributes.  ACIs work together in this way - when
there is a rule that allows some access and a rule that explicitly
denies that same access, the deny rule wins.  In your case, if this is
the only ACI, you don't need the deny clause, you could just do this:<span class="q"><br>
(target = "<a>ldap:///ou=People</a>,
dc=ite,dc=gmu,dc=edu") <br>
(targetattr ="employeeNumber")  <br>
(version 3.0;acl "EmployeeNumber";<br></span><span class="q">
allow (read) userdn="<a>ldap:///self</a>" and
authmethod="sasl gssapi";<br>
)<br>
<br></span>
Alastair Neil wrote:
<blockquote cite="http://mid85ac2ef405072812594a6831c5@mail.gmail.com" type="cite"><div><span class="e" id="q_1055f1a6e4610351_4">I am struggling with setting ACIs to restrict access to
certain attributes<br>
I would like the employeenumber  attribute to be visible only to the
user and <br>
only if they are authenticated via sasl gssapi. I have tried several
varients of the following:<br>
  <br>
  <br>
(target = "<a>ldap:///ou=People</a>,
dc=ite,dc=gmu,dc=edu") <br>
(targetattr ="employeeNumber")  <br>
(version 3.0;acl "EmployeeNumber";<br>
deny (all) userdn="<a>ldap:///anyone</a>" |<br>
allow (read) userdn="<a>ldap:///self</a>" and
authmethod="sasl gssapi";<br>
)<br>
  <br>
this one seems to deny access regardless of the authmethod or bindbd
used.<br>
  <br>
Anyone got any pointers?<br>
  <br>
  <br>
  </span></div><pre><hr size="4" width="90%"><br>--<br>Fedora-directory-users mailing list<br><a href="mailto:Fedora-directory-users@redhat.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Fedora-directory-users@redhat.com
</a><br><a href="https://www.redhat.com/mailman/listinfo/fedora-directory-users" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">https://www.redhat.com/mailman/listinfo/fedora-directory-users</a><br>
  </pre>
</blockquote>



<br clear="all"></blockquote></div><br>