¿Es posible limitar la visibilidad de un usuario LDAP estándar?
Me gustaría que los usuarios estándar tengan permiso para leer solo su información personal, y negarles que lean el perfil de otra persona.
Intenté aplicar un permiso de denegación en la OU (unidad organizativa), pero hay algunos permisos de concesión predeterminados en el objeto de usuario y, dado que están en un nivel más cercano, pueden anular la configuración de denegación.
por defecto, los "usuarios autenticados" pueden leer en un objeto de usuario:
Información general, pública, personal, web
Yo podría:
-
eliminar usuario por usuario estos permisos de "usuarios autenticados",
-
agregar permisos de lectura "auto" de usuario por usuario
-
denegar a los usuarios leer en los objetos secundarios de la unidad organizativa
pero es bastante doloroso y no estoy seguro de que pueda causar un mal funcionamiento.
alguien tiene algún consejo? ¿Hay un enfoque más fácil?
gracias.