授予对个人条目的写入访问权限
许多目录管理者都允许内部用户更改其自身条目中的部分(而非全部)属性。Example.com 的目录管理者允许用户更改自身的密码、家庭电话号码和家庭地址,但不允许更改其他内容。相关内容如ACI "Write Example.com"所述。
Example.com 还有一条策略,即,如果订户建立到目录的 SSL 连接,则允许订户在 Example.com 树中更新自身的个人信息。相关内容如ACI "Write Subscribers"所述。
ACI "Write Example.com"
注 –
通过设置此权限,还可以为用户授予删除属性值的权限。
在 LDIF 中,要为 Example.com 员工授予更新其家庭电话号码和家庭地址的权限,可编写以下语句:
aci: (targetattr="homePhone || homePostalAddress")(version 3.0; acl "Write Example.com"; allow (write) userdn="ldap:///self" ;) |
此示例假定 ACI 已添加到 ou=People,dc=example,dc=com 条目中。
ACI "Write Subscribers"
注 –
通过设置此权限,还可以为用户授予删除属性值的权限。
在 LDIF 中,要为 Example.com 订户授予更新其家庭电话号码的权限,可编写以下语句:
aci: (targetattr="homePhone") (version 3.0; acl "Write Subscribers"; allow (write) userdn= "ldap://self" and authmethod="ssl";) |
此示例假定 aci 已添加到 ou=subscribers,dc=example, dc=com 条目中,并且用户必须使用 SSL 进行绑定。
请注意,Example.com 订户对其家庭地址没有写入访问权限,因为他们可能会删除该属性。家庭地址是 Example.com 寄发帐单时所需的重要业务信息。
- © 2010, Oracle Corporation and/or its affiliates