<div><br></div>Thanks for the response.<div><br></div><div>The way we can turn off the anonymous bind in 389 Server. using  "nsslapd-allow-anonymous-access: off".</div><div><br></div><div>Is there any way to limit the read access of user to only to the DNS entries? In that way I can create a user who could/will be able to see/edit DNS entries only.</div>
<div><br></div><div>Thanks,</div><div>Chandan<br><div><br>On Friday, April 12, 2013, Dmitri Pal  wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 04/12/2013 02:23 AM, Martin Kosek wrote:<br>

> On 04/12/2013 01:07 AM, Chandan Kumar wrote:<br>
>> Hello,<br>
>><br>
>> I have a question regarding Uer Roles and Access in GUI. What I have found that<br>
>> irrespective of Role assigned to a user, he gets read only access across the<br>
>> directory.<br>
>><br>
>> For example, I created one user say "dnsadmin" with only Roles related to DNS<br>
>> such as DNS Servers, DNS Administrator. Now that user has read only access to<br>
>> entire directory. Is there any way of controlling it?<br>
>><br>
>><br>
>> Thanks,<br>
>> Chandan<br>
>><br>
> Hello Chandan,<br>
><br>
> If you create a new role, assign "DNS Administrators" privilege to it, and<br>
> assign that role to user dnsadmin, that user will have write access to DNS tree<br>
> and configuration.<br>
><br>
> Beyond that tree, dnsadmin will have read-only access just like all other<br>
> non-admin users. If you want dnsadmin to have write access also to other<br>
> entries, you would need to assign more privileges/roles to it.<br>
><br>
> HTH,<br>
> Martin<br>
><br>
> _______________________________________________<br>
> Freeipa-users mailing list<br>
> <a href="javascript:;" onclick="_e(event, 'cvml', 'Freeipa-users@redhat.com')">Freeipa-users@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
<br>
If you are worried about the read access the LDAP data is traditionally<br>
readable by any authenticated user.<br>
In the past is was even possible to read the tree as anonymous user<br>
which is a bad security practice and not recommended.<br>
<br>
<br>
--<br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager for IdM portfolio<br>
Red Hat Inc.<br>
<br>
<br>
-------------------------------<br>
Looking to carve out IT costs?<br>
<a href="http://www.redhat.com/carveoutcosts/" target="_blank">www.redhat.com/carveoutcosts/</a><br>
<br>
<br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="javascript:;" onclick="_e(event, 'cvml', 'Freeipa-users@redhat.com')">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</blockquote></div></div><br><br>-- <br><br><div>--</div><div><a href="http://about.me/chandank" target="_blank">http://about.me/chandank</a><br></div><br>