<div dir="ltr">Hello,<div><br></div><div>I'm in the process of configuring RabbitMQ to leverage LDAP. I have it configured and working but I'm now looking to lock down the access using a finer grain. Right now I'm doing this for resource control:</div><div><div><br></div><div><div>{permission, configure,</div><div>&nbsp; {for, [</div><div>&nbsp; &nbsp; &nbsp;{resource, queue,</div><div>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;{in_group, "CN=rmq-${vhost}-queue,OU=xxx,OU=xxx,DC=xxx,DC=xxx"}}]}}</div></div></div><div><br></div><div>Using this method, anyone in a matching group can create any queue anywhere inside the vhost. What I'd like is to provide them access to create queues only with a specific prefix based on group name.</div><div><br></div><div>It seems you could kind of do this by using CN=rmq-${vhost}-${name}-queue but that would expand to the full resource name and would require multiple ldap groups for every single object in the vhost which quickly becomes maintainable and non dynamic.</div><div><br></div><div>I'm wondering if there's some way I could get functionality similar to {in_group, CN=rmq-${vhost}-${prefix}-queue} where ${prefix} is the first token in a period delimited string.</div><div><br></div><div>Any thoughts?</div><div><br></div><div>Thank you,</div><div>James M.</div></div>