<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Great! Thanks Martin.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 16 March 2016 at 19:07, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 03/15/2016 04:28 AM, Prashant Bapat wrote:<br>
> Anyone?<br>
><br>
> On 11 March 2016 at 22:12, Prashant Bapat <<a href="mailto:prashant@apigee.com">prashant@apigee.com</a><br>
</span><span class="">> <mailto:<a href="mailto:prashant@apigee.com">prashant@apigee.com</a>>> wrote:<br>
><br>
>     Hi,<br>
><br>
>     I'm trying to use IPA's LDAP server as the user data base for an external<br>
>     application.<br>
><br>
>     I have created a service account from ldif below.<br>
><br>
><br>
>         dn: uid=srv-ro,cn=sysaccounts,cn=etc,dc=example,dc=com<br>
>         changetype: add<br>
>         objectclass: account<br>
>         objectclass: simplesecurityobject<br>
>         uid: system<br>
>         userPassword: changeme!<br>
>         passwordExpirationTime: 20380119031407Z<br>
>         nsIdleTimeout: 0<br>
><br>
><br>
>     This works fine. My question is whats the ACI associated with this new user?<br>
>     Does this user have read-only access to everything in LDAP ? Or should I<br>
>     add/tune the ACI.<br>
<br>
</span>This system user can now access all LDAP data that are allowed for<br>
authenticated users. It should not have permission to actually write something<br>
unless you allow any user write something.<br>
<br>
You can see the FreeIPA system read permissions [1] to see what authenticated<br>
users are allowed to read. At minimum, they can read more information about<br>
users, group member and others:<br>
<br>
# ipa permission-find --bindtype=all | grep "Permission name"<br>
  Permission name: System: Read AD Domains<br>
  Permission name: System: Read CA ACLs<br>
  Permission name: System: Read CA Renewal Information<br>
  Permission name: System: Read Certificate Profiles<br>
  Permission name: System: Read DNA Configuration<br>
  Permission name: System: Read Domain Level<br>
  Permission name: System: Read Global Configuration<br>
  Permission name: System: Read Group ID Overrides<br>
  Permission name: System: Read Group Membership<br>
  Permission name: System: Read HBAC Rules<br>
  Permission name: System: Read HBAC Service Groups<br>
  Permission name: System: Read HBAC Services<br>
  Permission name: System: Read Host Membership<br>
  Permission name: System: Read Hostgroup Membership<br>
  Permission name: System: Read Hostgroups<br>
  Permission name: System: Read Hosts<br>
  Permission name: System: Read ID Ranges<br>
  Permission name: System: Read ID Views<br>
  Permission name: System: Read Netgroup Membership<br>
  Permission name: System: Read Netgroups<br>
  Permission name: System: Read OTP Configuration<br>
  Permission name: System: Read Realm Domains<br>
  Permission name: System: Read Replication Information<br>
  Permission name: System: Read SELinux User Maps<br>
  Permission name: System: Read Services<br>
  Permission name: System: Read Sudo Command Groups<br>
  Permission name: System: Read Sudo Commands<br>
  Permission name: System: Read Sudo Rules<br>
  Permission name: System: Read Trust Information<br>
  Permission name: System: Read User Addressbook Attributes<br>
  Permission name: System: Read User ID Overrides<br>
  Permission name: System: Read User IPA Attributes<br>
  Permission name: System: Read User Kerberos Attributes<br>
  Permission name: System: Read User Membership<br>
<br>
Martin<br>
<br>
[1] <a href="http://www.freeipa.org/page/V4/Managed_Read_permissions" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/Managed_Read_permissions</a><br>
</blockquote></div><br></div>