Hi again,<br><br>since my first post may be complex, I made a much simpler sample, with standard objects.<br><br>I created a root suffix 'o=bug'<br><br>with two ACI:<br>aci: (targetattr="*")(version 3.0; acl "Test"; allow (all)userattr ="description#LDAPURL";)
<br>aci: (targetattr="*")(version 3.0; acl "Test"; allow (all)userattr ="parent[1].description#LDAPURL";)<br><br>Then I added a user, uid=testuser,o=bug<br><br>Then, an organizationalUnit, ou=testparentobject,o=bug
<br>with the description: ldap:///o=bug??sub?(uid=testuser)<br><br>According the ACIs, testuser dhould be able to modify ou=testparentobject and to create child objects under it.<br><br>But he only can modify it.<br><br>I don't find where I made a mistake.
<br><br>I join you my LDIF files and LDAP commands.<br><br><br>Thank you for your help<br><br>François<br><br><br><br>Here are the LDIF files :<br>---------- o=bug dump ------- <br>dn: o=bug<br>aci: (targetattr != "userPassword") (version 
3.0; acl "Anonymous access"; allow (read, search, compare)userdn = "ldap:///anyone";)<br>aci: (targetattr="*")(version 3.0; acl "Test"; allow (all)userattr ="description#LDAPURL";)
<br>aci: (targetattr="*")(version 3.0; acl "Test"; allow (all)userattr ="parent[1].description#LDAPURL";)<br>o: bug<br>objectClass: top<br>objectClass: organization<br><br>dn: uid=testuser,o=bug
<br>uid: testuser<br>givenName: Test<br>objectClass: top<br>objectClass: person<br>objectClass: organizationalPerson<br>objectClass: inetorgperson<br>sn: User<br>cn: Test User<br>userPassword: toto<br><br>dn: ou=testparentobject,o=bug
<br>ou: testparentobject<br>description: ldap:///o=bug??sub?(uid=testuser)<br>objectClass: top<br>objectClass: organizationalunit<br><br><br><br><br>--------- modification command ----------<br>
$ ldapmodify -x -D 'uid=testuser,o=bug' -w toto -f object-modification.ldif<br>
modifying entry "ou=testparentobject,o=bug"<br>
$<br>
<br>
--------- creation command -----------<br>
$ ldapadd -x -D 'uid=testuser,o=bug' -w toto -f object-creation.ldif<br>
adding new entry "ou=testchildobject,ou=testparentobject,o=bug"<br>
ldap_add: Insufficient access (50)<br>
        additional info: Insufficient 'add' privilege to add the entry 'ou=testchildobject,ou=testparentobject,o=bug'.<br>
$<br>
<br>
<br>
<br><br>---------- modification LDIF file ----------------<br>dn: ou=testparentobject,o=bug<br>changetype: modify<br>replace: telephoneNumber<br>telephoneNumber: 0123456789<br><br><br><br><br>---------- creation LDIF file --------------
<br>dn: ou=testchildobject,ou=testparentobject,o=bug<br>objectClass: top<br>objectClass: organizationalUnit<br>ou: testchildobject<br><br><br><br><br><br><br>