创建、查看和修改 ACI
可以通过使用目录服务控制中心 (Directory Service Control Center, DSCC) 或命令行创建 ACI。无论选择哪种方法,查看并复制现有 ACI 值通常比从头创建新 ACI 更容易。
可以在 DSCC 中查看和修改 aci 属性值。有关如何通过 DSCC 修改 ACI 的信息,请参见 DSCC 联机帮助。
创建、修改和删除 ACI
要使用命令行创建 ACI,应首先使用 LDIF 语句在文件中创建 ACI。然后通过使用 ldapmodify 命令将 ACI 添加到您的目录树中。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
-
在 LDIF 文件中创建 ACI。
dn: dc=example,dc=com changetype: modify add: aci aci: (target)(version 3.0; acl "name";permission bindrules;)
此示例说明如何添加 ACI。要修改或删除 ACI,请将 add 替换为 replace 或 delete。
有关常用 ACI 的更多示例,请参见访问控制使用示例。
-
使用 LDIF 文件进行更改。
$ ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - -f ldif-file
查看 ACI 属性值
ACI 作为条目的一个或多个 aci 属性值进行存储。aci 属性为多值操作属性,可由目录用户读取和修改。因此,ACI 属性自身应受 ACI 保护。管理用户通常具有 aci 属性的完全访问权限。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
-
通过运行以下 ldapsearch 命令查看条目的 ACI 属性值:
$ ldapsearch -h host -p port -D cn=admin,cn=Administrators,cn=config -w - \ -b entryDN -s base "(objectclass=*)" aci
结果为 LDIF 文本,可将其复制到新的 LDIF ACI 定义以进行编辑。由于 ACI 的值是一个长字符串,因此 ldapsearch 操作的输出可能会以多行显示。此外,第一个空格为连续标记。如果不希望 LDIF 输出包含连续标记,请使用 -T 选项。复制和粘贴 LDIF 输出时应考虑输出格式。
注 –要查看 aci 值所授予和拒绝的权限,请参见查看有效权限。
查看根级别的 ACI
创建后缀时,将在顶级或根级别上创建一些默认 ACI。这些 ACI 允许默认管理用户 cn=admin,cn=Administrators,cn=config 具有与目录管理员相同的目录数据访问权限。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
- © 2010, Oracle Corporation and/or its affiliates