扩展角色的范围

目录服务器提供了一个属性，该属性允许将角色的范围扩展到角色定义条目的子树之外。此单值属性 nsRoleScopeDN 包含要添加到现有角色的范围的 DN。只能将 nsRoleScopeDN 属性添加到嵌套角色。请参见嵌套角色定义的示例。

扩展角色的范围

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

nsRoleScopeDN 属性允许您扩展某个子树中的角色范围，以包含另一个子树中的条目。例如，假定 example.com 目录树中有两个主要子树：o=eng,dc=example,dc=com（工程子树）和 o=sales,dc=example,dc=com（销售子树）。工程子树中的用户需要访问由销售子树中的角色 (SalesAppManagedRole ) 管理的销售应用程序。要扩展该角色的范围，请执行以下操作：

1. 在工程子树中为用户创建一个角色。

   例如，创建角色 EngineerManagedRole。此示例使用受管理角色，但也可以是过滤角色或嵌套角色。

2. 在销售子树中创建一个嵌套角色（例如 SalesAppPlusEngNestedRole），以存储新创建的 EngineerManagedRole 和初始的 SalesAppManagedRole。

3. 使用要添加的工程子树范围的 DN（在本案例中为 o=eng,dc=example,dc=com）将 nsRoleScopeDN 属性添加到 SalesAppPlusEngNestedRole 中。

   必须为工程用户授予必要的权限，以便该用户可以访问 SalesAppPlusEngNestedRole 角色，进而可以使用销售应用程序。此外，还必须复制角色的整个范围。

   ---

   注 –

   对嵌套角色扩展范围的限制意味着，以前在某个域中管理角色的管理员只有权使用其他域中已存在的角色。该管理员无法在其他域中创建任意角色。

   ---