Web Server 如何实现动态组

Web Server 在 LDAP 服务器模式中以 objectclass = groupOfURLs 的方式实现动态组。groupOfURLS 类可以有多个 memberURL 属性，每个属性都包含一个 LDAP URL，用于枚举目录中的一组对象。组的成员是这些对象集的总和。例如，下面的组只包含一个成员 URL：

ldap:///o=mcom.com??sub?(department=marketing)

该实例描述了一个由 "o=mcom.com" 下属于 "marketing" 部门的所有对象组成的集合。LDAP URL 可以包含搜索基 DN、范围和过滤器；但是，不包含主机名和端口。这意味着您只能引用同一个 LDAP 服务器上的对象。LDAP URL 支持所有范围。

DN 会自动包含在内，因而不需要您向组中添加每个 DN。组是动态变化的，因为每次 ACL 验证需要查找组时，Sun ONE Web Server 都将执行一个 LDAP 服务器搜索。ACL 文件中使用的用户和组名与 LDAP 数据库中的对象的 cn 属性相对应。

Web Server 使用 cn (commonName) 属性作为 ACL 的组名。

在 dbswitch.conf 配置文件（将 ACL 数据库名称与实际的 LDAP 数据库 URL 相关联）和 ACL 文件（定义要用于每个 ACL 的数据库）中，同时定义了从 ACL 到 LDAP 数据库的映射。例如，如果需要名为 "staff" 的组中成员的基本访问权限，ACL 代码将查找对象类为 groupOf<anything> 且 CN 被设置为 "staff" 的对象。该对象可通过两种方法来定义组成员，即显式枚举出成员 DN（与静态组的 groupOfUniqueNames 的操作相同），或指定 LDAP URL（例如，groupOfURLs）。