在 LDIF 中,要为 Example.com 员工授予在 ou=Social Committee 分支下创建组条目的权限,可编写以下语句:
aci: (targetattr="*") (targattrfilters="add=objectClass: (|(objectClass=groupOfNames)(objectClass=top))") (version 3.0; acl "Create Group"; allow (read,search,add) userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") and dns="*.Example.com";) |
此示例假定 ACI 已添加到 ou=Social Committee,dc=example,dc=com 条目中。
此 ACI 不授予写入权限,这意味着条目创建者无法修改条目。
由于服务器在后台添加值 top,因此需要在 targattrfilters 关键字中指定 objectClass=top。
ACI 将客户机限制在 example.com 域中。