如何实现动态组

Proxy Server 在 LDAP 服务器模式中以 objectclass=groupOfURLs 方式实现动态组。groupOfURLs 类可以具有零个或多个 memberURL 属性，每个属性都是一个 LDAP URL，用于描述目录中的一组对象。组的成员是这些对象集合的总和。例如，下面的组仅包含一个成员 URL：

ldap:///o=mcom.com??sub?(department=marketing)

该示例描述了一个由 o=mcom.com 下部门为 marketing 的所有对象组成的集合。LDAP URL 可以包含搜索基 DN、范围和过滤器，但不包含主机名和端口。所以您只能引用同一个 LDAP 服务器上的对象。LDAP URL 支持所有范围。有关 LDAP URL 的更多信息，请参见创建动态组的准则。

DN 会自动包含在内，因而无需向组中逐一添加每个 DN。由于每次 ACL 验证需要查找组时 Proxy Server 都将执行一次 LDAP 服务器搜索，因此组是动态变化的。ACL 文件中使用的用户姓名和组名与 LDAP 数据库中的对象的 cn 属性相对应。

Proxy Server 使用 cn 属性作为 ACL 的组名。

从 ACL 到 LDAP 数据库的映射将同时在 dbswitch.conf 文件（它将 ACL 数据库名与实际 LDAP 数据库 URL 关联）和 ACL 文件（它定义要为各 ACL 使用的数据库）中进行定义。例如，如果要使名为 staff 的组中的所有成员具有基本访问权限，ACL 代码将查找对象类为 groupOfanything 且 CN 设置为 staff 的对象。该对象可通过两种方法来定义组的成员，即显式枚举成员 DN（与对静态组的 groupOfUniqueNames 的操作相同），或指定 LDAP URL（例如，groupOfURLs）。

组可以同时是动态和静态的。组对象可以同时具有 objectclass=groupOfUniqueMembers 和 objectclass=groupOfURLs。因此，uniqueMember 和 memberURL 属性都是有效属性。组的全体成员是其静态成员和动态成员的总和。