为组或角色授予条件访问权限
在许多情况下,当您为组或角色授予对目录的访问特权时,必须确保入侵者无法模拟特权用户使用这些特权。因此,在许多情况下,为组或角色授予重要访问权限的访问控制规则通常与许多条件相关联。
例如,Example.com 为其每个托管公司(Company333 和 Company999)创建了一个目录管理者角色。Example.com 希望这两家公司能够管理各自的数据并实现各自的访问控制规则,同时又能确保数据不受侵犯。
因此,如果满足以下条件,Company333 和 Company999 将对其各自的目录树分支具有完全权限。
-
使用证书通过 SSL 对连接进行验证。
-
在星期一至星期四的 8:00 至 18:00 之间请求访问。
-
从每个公司的指定 IP 地址请求访问。
这些条件将在每个公司的某个 ACI(ACI "Company333" 和 ACI "Company999")中列出。由于两个 ACI 的内容相同,因此以下示例只使用 "Company333" ACI。
ACI "Company333"
在 LDIF 中,要在满足上述条件的情况下为 Company333 授予对其目录分支的完全访问权限,可编写以下语句:
aci: (targetattr = "*") (version 3.0; acl "Company333"; allow (all) (roledn="ldap:///cn=DirectoryAdmin,ou=Company333, ou=corporate clients,dc=example,dc=com") and (authmethod="ssl") and (dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and timeofday <= "1800") and (ip="255.255.123.234"); ) |
此示例假定 ACI 已添加到 ou=Company333,ou=corporate clients,dc=example,dc=com 条目中。
- © 2010, Oracle Corporation and/or its affiliates