![]() | |
Sun Java(TM) System Directory Server 5 2004Q2 ����ָ�� |
�� 6 ��
������ʿ�����Ŀ¼���ݵķ��ʿ����Ǵ�����ȫĿ¼��һ��ɻ�ȱ����ɲ��֡����½����˷��ʿ���ָ�� (ACI)����Щָ������ȷ�������Ŀ¼���û�������ЩȨ�ޡ�Directory Server ���в鿴���û��Ը���Ŀӵ�е���ЧȨ�Ĺ��ܡ��ù��ܼ��˸��Ӷ���ǿ��ķ��ʿ��ƻ��ƵĹ��?
��Ŀ¼����Ĺ滮�Σ���Ӧ������һ�ַ��ʿ��Ʋ��ԣ���4���������尲ȫ���ԡ��йع滮���ʿ��Ʋ��Ե���ʾ������ġ�Directory Server Deployment Planning Guide��Chapter 7 �е� "Designing Access Control"��
���°�(�������⣺
���ʿ��Ƶ�ԭ�����ڶ�����ʵĻ��ƽ������ʿ���������������յ�һ������ʱ����ʹ���û��ڰ������ṩ����֤��Ϣ���Լ��������ж���ķ��ʿ���ָ�� (ACI) 4ȷ���Ƿ����������Ŀ¼��Ϣ����������������ܾ������ȡ��д�롢�����Ƚ�֮���Ȩ�ޡ������û���Ȩ�������ȡ�������ṩ����֤��Ϣ��
ͨ��ʹ�÷��ʿ��ƣ�����Կ��ƶ����Ŀ¼��Ŀ¼������Ŀ¼�е��ض���Ŀ����(���������������Ŀ�����ض�����Ŀ���Լ����ض�����Ŀ����ֵ�ķ��ʡ�����Ϊ�ض��û��������ض�����ɫ�������û���Ŀ¼�������û�����Ȩ�ޡ������Ϊ���� IP ��ַ�� DNS ��Ʊ�ʶ���ض��ͻ�������ʡ�
ACI �ṹ
���ʿ���ָ����Ϊ��Ŀ�����Դ洢��Ŀ¼�С�aci �����Dz������ԣ��������Ŀ¼�е�ÿһ����Ŀ��������Ƿ��������Ŀ�Ķ����ඨ��ġ��� Directory Server ���յ�4�Կͻ���� LDAP ����ʱ����ʹ�ø�����4�ж�Ӧ�����ܾ���ЩȨ�ޡ��������ȷ��Ҫ��aci ���Խ��� ldapsearch �����б����ء�
ACI ���������Ҫ�����ǣ�
ACI ��Ȩ�Ͱ��ֱ�����Ϊһ�ԣ�Ҳ����Ϊ���ʿ��ƹ��� (ACR)�������ڷ���Ŀ���ָ��Ȩ�������軹�Ǿܾ���ȡ������Ӧ�Ĺ����9��Ƿ�Ϊ true���й���ϸ��Ϣ������� ��ACI �����
ACI �
���� ACI ����Ŀû���κ�����Ŀ����ô ACI ��ֻӦ���ڸ���Ŀ��������Ŀ��������Ŀ����ô ACI ��Ӧ���ڸ���Ŀ�����Լ��������������Ŀ����ˣ����������9���Ŀ�ķ���Ȩ��ʱ�������֤��������Ŀ����Ŀ�����֮���ÿһ����Ŀ�� ACI��
aci �����Ƕ�ֵ�ģ�����ζ�ſ���Ϊͬһ��Ŀ���������� ACI��
���������Ŀ�ϴ���һ�� ACI��ʹ֮��ֱ��Ӧ���ڸ���Ŀ������Ӧ�����������еIJ��ֻ�ȫ����Ŀ����������ŵ��ǣ��������Ŀ¼���еĽϸ����Ϸ���һ��ͨ�� ACI���Ա���Ч��Ӧ���ڿ���λ�������²�λ���ϵ���Ŀ�����磬�� organizationalUnit ��Ŀ�� locality ��Ŀ�ļ����ϣ�����Ϊ��( inetorgperson ���������Ŀ����һ�� ACI��
ͨ��ʹ�ô˹����ڸ����֧���Ϸ���ͨ�ù����Լ���Ŀ¼���е� ACI �������ڸ�Ϊ����Ĺ���Ӧ�þ����ܽ����Ƿ����ڿ���Ҷ��Ŀ��λ���ϣ��Ա�����������
ACI �9�
Ҫ�96��ض���Ŀ�ķ���Ȩ�ޣ������������Ŀ����� ACI���丸��Ŀ�� ACI��ֱ�x���Ŀ����Ļ�����һ���б?���9��ڼ䣬�������˳���� ACI��ACI �9�������Ŀ��������֮������к����Ӻ��н��еģ�����������������t�Ӻ��н��С�
ע
Ŀ¼����Ա��Ψһ�������ڷ��ʿ��Ƶ���Ȩ�û�����ij��ͻ�����Ŀ¼����Ա��ݰ���Ŀ¼ʱ��ִ�в���֮ǰ��������9��κ� ACI��
��ˣ�Ŀ¼����Ա�� LDAP ������������������û���Ԥ��������ȡ���Ӧ��ʼ���Ե����û���ݼ��Ŀ¼���ܡ�
Ĭ������£����û�� ACI Ӧ�õ���Ŀ�У������Ŀ���ܾ������û��ķ��ʣ�Ŀ¼����Ա���⣩��ACI ����Ϊ�û���ȷ���������Ȩ�ޣ��Ա���ʷ������е�������Ŀ��Ĭ�� ACI ��������Ķ�ȡ����Ȩ�������û����Լ�����Ŀ����ȫ�������Գ��⣩���й���ϸ��Ϣ���������Ĭ�� ACI����
��Ȼ����������ȴ����Ŀ����Ŀ���� ACI����Ӧ������Ŀ������ ACI ��Ч�����ۼӵġ����� ACI ����ķ���Ȩ��������ģ������ ACI �ܾ��Ȩ�ޡ����۳������б��е��ĸ�λ�ã��ܾ���ʵ� ACI �����������������ͬ��Դ�� ACI��
���磬�����Ŀ¼�ĸ��ܾ�д��Ȩ�ޣ���ôû��һ���û�����д�뵽��Ŀ¼�������������ǵľ���Ȩ����ʲô��Ϊ��Ŀ¼�����ض��û�д��Ȩ�ޣ���������д��Ȩ��ԭʼ�ܾ�ķ�Χ����ʹ���(���û���
ACI ����
��ΪĿ¼����һ����ʿ��Ʋ���ʱ������Ҫע���������ƣ�
Ȼ����Խ��洢��Ŀ����Ŀ�е�ֵ��洢�ڰ��û�����Ŀ�е�ֵ����ֵƥ�䣨���磬ʹ�� userattr �ؼ��֣�����ʹ���û��ڷ������ϲ����г��и� ACI ����Ŀ��Ҳ������ضԷ��ʽ����9!�
�й����t�ӷ��ʿ����95���ϸ��Ϣ���������ͨ����t�ӵĺ����еķ��ʿ��ơ���
- CoS ��ɵ����Բ����������� ACI �ؼ�����ʹ�á�����4˵����Ӧ�ý� CoS ��ɵ������� userattr �� userdnattr �ؼ���һ��ʹ�ã���Ϊ���ʿ��ƹ��������á��й���ϸ��Ϣ���������ʹ�� userattr �ؼ��֡����й� CoS ����ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ����
- ���ʿ��ƹ���ʼ�����ڱ��ط������Ͻ����95ġ�һ����Ҫ�� ACI �ؼ�����ʹ�õ� LDAP URL ��ָ���������������˿ںš����������LDAP URL �����ᱻ���Կ��ǡ��й���ϸ��Ϣ������ġ�Directory Server Administration Reference���е� Chapter 6 "LDAP URL Reference"��
- ���������Ȩ��ʱ����������һ���û���ΪĿ¼����Ա����д����Ȩ�ޣ�Ҳ������Ŀ¼����Ա�������Ȩ�ޡ�
Ĭ�� ACI��װ Directory Server ʱ������Ĭ�� ACI ���������ڼ�ָ���ĸ���ж���ģ�
- �����û����ж�Ŀ¼������ȽϺͶ�ȡ������������Ȩ��userpassword ���Գ��⣩��
- ���û�������Ŀ¼�������Լ�����Ŀ��������ɾ�����Dz����� aci��nsroledn �� passwordPolicySubentry ���ԣ�Ҳ�������κ���Դ�������ԡ��������״̬���Ի����ʻ���״̬���ԡ�
- ���ù���Ա��Ĭ������£�uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot�����г����Ȩ��֮�������Ȩ�ޡ�
- Configuration Administrators ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�
- Directory Administrators ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�
- SIE ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�SIE ���ǹ���������д�Ŀ¼�ķ�������Ĺ���Ա��
���ۺ�ʱ��Ŀ¼�д����µĸ���������Ŀ�����������г��Ĭ�� ACI�������� ACI ���⣩��Ϊ�˻�ö���İ�ȫ�ԣ���Ӧ�ð�����ʹ�ÿ���̨�����µĸ�����е�˵����Ӵ� ACI��
���������� NetscapeRoot ��������Լ���Ĭ�� ACI ����
���漸�ڽ������������ЩĬ�������Է����λ����Ҫ��
ACI �ACI �Ǿ��������ܱ��ĸ��ӽṹ������ʹ�ÿ���̨��������д������� ACI����Ӧ���˽� LDIF �е� ACI �������С����ϸ���� ACI ���
��ʾ
��Ϊ ACI ��Ƚϸ��ӣ����� Directory Server Console ��֧������ ACI �Ŀ��ӱ༭�����⣬ʹ��������Ϊ����Ŀ¼��Ŀ���÷��ʿ������öࡣ��ˣ��˽� ACI ��Ǵ����߱���Ч���ʿ��Ƶİ�ȫĿ¼�Ĺؼ�
aci ���Ծ����������
aci:(target)(version 3.0;acl name;permission bindRules;)
����
- target ָ��Ҫ��������ʵ���Ŀ�����Ի���Ŀ�����Լ���Ŀ������DZ�ʶ��ơ�һ��������ԣ��� LDAP ������Ŀ���ǿ�ѡ�ġ�û��ָ��Ŀ��ʱ��ACI Ӧ���ڶ��� ACI �������Ŀ������������Ŀ��
- version 3.0 �DZ�ʶ ACI �汾�������ַ�
- name �� ACI ����ơ���ƿ����DZ�ʶ ACI ���κ��ַ�ACI ����DZ���ģ���Ӧ������ ACI ��Ч��
- permission ����涨�������ܾ���ЩȨ�ޣ����磬��ȡ������Ȩ�ޣ���
- bindRules ָ���û�Ҫ���������Ȩ�����ṩ��ƾ֤�Ͱ�������Ի����û���ݻ����Ա��ݻ�ͻ����l�����ԡ�
���Ծ��ж��Ŀ���Ȩ��-����ԡ���������Ե�����Ŀ����ΪĿ������ԣ�����Ը�Ŀ����Ч�����ö����ʿ��ơ����磺
aci:(target)...(target)(version 3.0;acl name; permission bindRule;permission bindRule; ...; permission bindRule;)
����������� LDIF ACI ��ʾ��
aci: (target=ldap:///uid=bjensen,dc=example,dc=com(targetattr=*)(version 3.0; acl example; allow (write)userdn=ldap:///self;)
�ڱ�ʾ���У�ACI �����û� bjensen ���������Լ���Ŀ¼��Ŀ���������Ե�Ȩ�ޡ�
���漸�ڱȽ���ϸ�ؽ����� ACI ��ÿ���ֵ����
����Ŀ��
Ŀ���ʶ ACI Ӧ�õĶ����ͻ���Ҫ�����Ŀ�е�����ִ�в���ʱ���������9�Ŀ�꣬�Ӷ�ȷ���Ƿ�����9� ACI �������ܾ�˲������δָ��Ŀ�꣬�� ACI Ӧ���ڰ� aci ���Ե���Ŀ�е����������Լ����������Ŀ��
Ŀ���ͨ����������֮һ��
(keyword = expression)
(keyword != expression)
����
- keyword ��ʾĿ������͡�Ŀ����������������� 6-1 �еĹؼ��ֶ���ģ�
- �Ⱥ� (=) ��ʾĿ���� ���ʽ ��ָ���Ķ���Ⱥ� (!=) ��ʾĿ���� ���ʽ ��δָ�����κζ���
- expression ȡ���ڹؼ��֣�����ʶĿ�ꡣ������Ŀǰ��ʵʩ�н��������� targetattr=* �ı��ʽ���������˵��expression }�ߵ���� ("") ������Ҫ�ġ��ڽ�4�İ汾�У����齫��ø�Ϊ�ϸ�������ʼ��ʹ����š�
�±��г�ÿ��ؼ����Լ���j�ı��ʽ��
�� 6-1 LDIF Ŀ��ؼ���
�ؼ���
��Ч���ʽ
�Ƿ�����ͨ���
target
ldap:///distinguished_name
��
targetattr
attribute
��
targetfilter
LDAP_filter
��
targattrfilters
LDAP_operation:LDAP_filter
��
��Ŀ¼��Ŀ��ΪĿ��
ʹ��Ŀ��ؼ����Լ� LDAP URL �е� DN ���Խ��ض�Ŀ¼��Ŀ�Լ��������������Ŀ��ΪĿ�ꡣĿ�� DN ����λ�ڶ��� ACI ����Ŀ�µ������С�Ŀ����ʽ�����������
(target = "ldap:///distinguished_name")
(target != "ldap:///distinguished_name")��ʶ��Ʊ���λ���Զ��� ACI ����Ŀ��Ϊ��������С����磬������ ou=People,dc=example,dc=com �ϵ� ACI ��ʹ������Ŀ�꣺
(target = "ldap:///uid=bjensen,ou=People,dc=example,dc=com")
ע
���ַ��ʾ��ʽ (RFC 2253) �У���Ŀ�� DN �����DZ�ʶ��ơ���ˣ�����϶��ԣ��� DN ����Ҫ���ַ��綺�ţ�����ʹ�õ���б�� (\) ����ת�塣���磺
(target="ldap:///uid=cfuentes,o=Example Bolivia\, S.A.")
�������� DN ��ʹ��ͨ����Ա㽫�� LDAP URL ƥ�������������Ŀ��ΪĿ�ꡣ�����ǺϷ���ͨ����÷�ʾ��
����ʹ�ö��ͨ����� uid=*,ou=*,dc=example,dc=com����ʾ��ƥ�� example.com ���е����ʶ��ư� uid �� ou ���Ե�ÿ����Ŀ��
ע
�����ڱ�ʶ��Ƶĺ�����ʹ��ͨ��������Ŀ¼ʹ�ú� c=US �� c=GB��������ʹ������Ŀ��4����}�����
(target="ldap:///dc=example,c=*")��
Ҳ����ʹ������ uid=bjensen,o=*.com ֮���Ŀ�ꡣ
��������ΪĿ��
���˽�Ŀ¼��Ŀ��ΪĿ��֮�⣬�����Խ�Ŀ����Ŀ�г��ֵ�һ��������ԣ������������֮����������ԣ���ΪĿ�ꡣ��һ�ص�����Ҫ�ܾ����������й�һ����Ŀ�IJ�����Ϣʱʮ�����á����磬����ֻ�������һ�����Ŀ��ͨ�����գ��Լ��绰�������ԡ�Ҳ���Ծܾ������������֮��������Ϣ�ķ��ʡ�
���û���ṩ targetattr ������Ĭ������½��������κ����ԡ�Ҫ�����������ԣ��������Ϊ targetattr="*"��
��ΪĿ������Բ���Ҫ������Ŀ����Ŀ���������У������ۺ�ʱ��Щ���Դ�������Ŀ���������У�ACI ����Ӧ����Щ���ԡ�����Ҫ�ڼܹ��ж�����ΪĿ������ԡ�ȱ�ټܹ����ʹ���ڵ�����ݼ���ܹ�֮ǰʵ�ַ��ʿ��Ʋ��Գ�Ϊ���ܡ�
Ҫ��������ΪĿ�꣬����ʹ�� targetattr �ؼ��ֲ��ṩ������ơ�targetattr �ؼ���ʹ���������
(targetattr = "attribute")
(targetattr != "attribute")����ʹ�� targetattr �ؼ��֣���ʹ��������������������ΪĿ�꣺
(targetattr = "attribute1 || attribute2 ...|| attributen")
(targetattr != "attribute1 || attribute2 ...|| attributen")���磬Ҫ��һ����Ŀ��ͨ�����պ� uid ������ΪĿ�꣬����ʹ���������
(targetattr = "cn || sn || uid")
����ΪĿ�������(ָ�������Ե����������͡����磬(targetattr = "locality") ���� locality;lang-fr ��ΪĿ�ꡣ������ר�Ž���������ΪĿ�꣬���� (targetattr = "locality;lang-fr-ca")��
������� targetattr ������ʹ��ͨ������Dz�������������Ϊ����Ϊͨ���û��ʲô��������壬���һ�����ܴ�4����Ӱ�졣
����Ŀ��������ΪĿ��
Ĭ������£��� targetattr �ؼ��ֵ� ACI ����Ե���Ŀ����������� ACI ����Ŀ��������� ACI
aci:(targetattr = "uid")(accessControlRules;)
������ ou=Marketing, dc=example,dc=com ��Ŀ�ϣ���ô�� ACI Ӧ������� Marketing ����Ȼ������ʹ�� target �ؼ�����ʽָ��һ��Ŀ�꣬������ʾ��
aci:(target="ldap:///uid=*,ou=Marketing,dc=example,dc=com")
(targetattr="uid") (accessControlRules;)ָ�� target �� targetattr �ؼ��ֵ�˳���Ⱥ�
ʹ�� LDAP ��������Ŀ��������ΪĿ��
����ʹ�� LDAP ������ƥ��ijЩ�����һ����Ŀ��ΪĿ�ꡣҪ����һ�㣬�ɽ� targetfilter �ؼ����� LDAP ������һ��ʹ�á�ACI ��Ӧ�������ض���������ƥ���������Ŀ����Щ�ض���������λ�ڰ�� ACI ����Ŀ�µ������С�
targetfilter �ؼ��ֵ���ǣ�
(targetfilter = "LDAPfilter")
���У�LDAPfilter �DZ� LDAP ����������йع����������ϸ��Ϣ������� ��LDAP �����������
���磬�ٶ�����Ա��������Ŀ������нˮ���ͬ��״̬,�ʹ����Ϊȫְְλ�İٷֱȵĹ���Сʱ������ԡ�Ҫ������ͬ�����ְ��Ա��������Ŀ��ΪĿ�꣬����ʹ�����й�����
(targetfilter = "(|(status=contractor)(fulltime=79))")
ע
ACI �в�֧�������ʻ�ֵ��ƥ�����Ĺ�����������磬����Ŀ���������Ч��
(targetfilter = "(locality:fr:== Quebec)")
Ŀ�������ѡ�������Ŀ��Ϊ ACI ��Ŀ�ꡣ���Թ�j targetfilter �� targetattr �ؼ����Դ��� ACI���Ա�Ӧ����Ŀ����Ŀ�е������Ӽ���
���� LDIF ʾ������ Engineering Admins ��ij�Ա�� Engineering ҵ������е�������Ŀ�� departmentNumber �� manager ���ԡ���ʾ��ʹ�� LDAP ������ѡ���� businessCategory ���Ա�����Ϊ Engineering ��������Ŀ��
dn: dc=example,dc=com
objectClass: top
objectClass: organization
aci: (targetattr="departmentNumber || manager")
(targetfilter="(businessCategory=Engineering)")
(version 3.0; acl "eng-admins-write"; allow (write)
groupdn ="ldap:///cn=Engineering Admins, dc=example,dc=com";)
ʹ�� LDAP ����������ֵ��ΪĿ��
����ʹ�÷��ʿ����Ա㽫�ض�������ֵ��ΪĿ�ꡣ��������һ�����Ե�ֵ���� ACI �ж���������������ڸ������������ܾ�Ȩ�ޡ��������Ե�ֵ�����ܾ����Ȩ�� ACI �������ֵ�� ACI��
���磬���Ը���λ�������û�����Ȩ�ޣ��Ա������ܹ����Լ�����Ŀ�е� nsRoleDN ���ԡ�Ȼ����Ҫȷ�����Dz��������Լ��������硰��������Ա��֮���ijЩ�ؼ��ɫ������ʹ�� LDAP ������������ֵ�ϵ�����Ƿ����㡣
Ҫ��������ֵ�� ACI������ʹ�� targattrfilters �ؼ��֣���ʹ���������
(targattrfilters="add=attr1:F1 attr2:F2... attrn:Fn,
del=attr1:F1 attr2:F2 ... attrn:Fn")����
�ڴ���һ����Ŀʱ�����һ�������Ӧ��������Ŀ�е�һ�����ԣ���ô�����Ե�ÿ��ʵ���������ù�������ɾ��һ����Ŀʱ�����һ�������Ӧ���ڸ���Ŀ�е�һ�����ԣ���ô�����Ե�ÿ��ʵ��Ҳ����������ù�����
����һ����Ŀʱ�������������һ�����ԣ���ô��������Ӧ���ڸ����Ե���ӹ�������������ɾ��һ�����ԣ���ô��������Ӧ���ڸ����Ե�ɾ�����������滻��Ŀ���Ѿ�������һ�����Եĵ���ֵ����ô����������Ӻ�ɾ�������
���磬�뿴�������Թ�����
(targattrfilters="add=nsroleDN:(!(nsRoleDN=cn=superAdmin)) && telephoneNumber:(telephoneNumber=123*)")
�˹���������������û��������Լ�����Ŀ��ӳ� superAdmin ��ɫ֮����κν�ɫ��nsRoleDN ���ԣ����������û����ǰΪ 123 �ĵ绰���롣
������Ŀ¼��Ŀ��ΪĿ��
û�п��Խ�������Ŀ��ΪĿ���ֱ�ӷ�����Ȼ�����ǿ��쵽�ģ�
- ͨ��һ�������ƥ��������е��û�������Ŀ����Ŀ�д洢������ֵ���й���ϸ��Ϣ�������������ֵƥ��4������ʡ���
- ͨ��ʹ�� targetfilter �ؼ��֡�
ʹ�� targetfilter �ؼ��ֿ���ָ���������������Ŀ�е�����ֵ�����磬�ڰ�װ Directory Server �ڼ䣬���������� ACI��
aci: (targetattr="*")(targetfilter=(o=NetscapeRoot))
(version 3.0; acl "Default anonymous access";
allow (read, search) userdn="ldap:///anyone";)�� ACI ����Ӧ���� o=NetscapeRoot ��Ŀ����Ϊ����Ŀ�Ǿ��� o �����Ҹ����Ե�ֵΪ NetscapeRoot ��Ψһ��Ŀ��
����Щ������j�ķ����ǣ�Ŀ¼��4���ܻᷢ��仯�������ס�Ĵ� ACI��
ʹ�ú궨��Ŀ��
����ʹ�ú�4��� ACI Ŀ�겿���е� DN���Ӷ��Ż�Ŀ¼��ʹ�õ� ACI ���й���ϸ��Ϣ��������������ʿ��ƣ�ʹ�ú� ACI����
�趨Ȩ��
Ȩ��ָ�������ܾ�ķ������͡����������ܾ���Ŀ¼��ִ���ض������Ȩ�ޡ�����ָ�ɵĸ��ֲ���Ҳ������Ȩ����
����Ȩ����}���֣�
�����ܾ����
������ʽ�����ܾ��Ŀ¼��ķ���Ȩ�ޡ��йغ�ʱ��������Լ���ʱ�ܾ���ʵ���ϸָ��˵������ġ�Directory Server Deployment Planning Guide��Chapter 7 �е� "Designing Access Control"��
ָ��Ȩ��
Ȩ���������û����Զ�Ŀ¼���ִ�е��ض�������������ܾ�����Ȩ�ޣ�Ҳ����ָ������һ�����Ȩ�ޣ�
��ȡ����ʾ�û��Ƿ���Զ�ȡĿ¼��ݡ���Ȩ��ֻ��Ӧ�����������
д�롣��ʾ�û��Ƿ����ͨ����ӡ��Ļ�ɾ������4����Ŀ����Ȩ��Ӧ�����ĺ� modrdn ����
��ӡ���ʾ�û��Ƿ���Դ�����Ŀ����Ȩ��ֻ��Ӧ������Ӳ���
ɾ����ʾ�û��Ƿ����ɾ����Ŀ����Ȩ��ֻ��Ӧ����ɾ�����
������ʾ�û��Ƿ��������Ŀ¼��ݡ��û������������Ͷ�ȡȨ�ޣ��Ա�鿴��Ϊ�������һ���ַ��ص���ݡ���Ȩ��ֻ��Ӧ�����������
�Ƚϡ���ʾ�û��Ƿ���Խ������ṩ�������洢��Ŀ¼�е���ݽ��бȽϡ�ͨ��Ƚ�Ȩ�ޣ�Ŀ¼��Ӧһ���ѯ���سɹ���ʧ����Ϣ�����û����ܲ鿴��Ŀ�����Ե�ֵ����Ȩ��ֻ��Ӧ���ڱȽϲ���
����д�롣��ʾ�û��Ƿ������Ŀ����Ŀ����������ӻ�ɾ���Լ��� DN�������Ե�������ǡ���ʶ��ơ�����Ȩ��ֻ�����ڽ�������?����д����������Ȩһ��ʹ�ã���������һ������Ŀ��ӣ����һ������Ŀɾ����� DN ��Ȩ�ޣ����ǰ��û��� DN����
���?��ʾָ���� DN �Ƿ��������һ����Ŀ��Ȩ����Ŀ�ꡣ����ʹ��Ŀ¼�е��κ��û��� DN ����������Ȩ�ޣ���Ŀ¼����Ա DN ���⡣���⣬Ҳ���ܸ�Ŀ¼����Ա�������Ȩ�ޡ���������Ȩ ACI ʾ�����ṩ��һ��ʾ��
���С���ʾָ���� DN �������Ŀ����Ŀ������Ȩ�ޣ���ȡ��д�롢����ɾ��ȽϺ�����д�룩������Ȩ��������
Ȩ���DZ˴˶�b������ġ���������磬���������Ȩ���û����Դ�����Ŀ���������û���ر�����ɾ��Ȩ�ޣ���ô���û��Ͳ���ɾ����Ŀ����ˣ��ڹ滮Ŀ¼�ķ��ʿ��Ʋ���ʱ������ȷ���Զ��û�������ķ�ʽ����Ȩ�ޡ����磬��û�������ȡ������Ȩ�ޣ�������д��Ȩ��ͨ��û�����塣
ִ�� LDAP ���������Ȩ��
���ڽ�������Ҫ�����û���Ȩ�ޣ�����Ҫȡ������Ȩ�û�ִ�� LDAP ��������͡�
�����Ŀ��
ɾ����Ŀ��
��һ����Ŀ�е����ԣ�
��һ����Ŀ�� RDN��
�Ƚ�һ�����Ե�ֵ��
������Ŀ��
����Ҫ����Ȩ���Ա��û��ܹ�����Ŀ¼������ʾ���ʹ������������һ�㡣��鿴��������
ldapsearch -h host -p port -D "uid=bjensen,dc=example,dc=com" \
-w password -b "dc=example,dc=com" \
"(objectclass=*)" mail���� ACI ����ȷ���Ƿ����Ϊ�û� bjensen ������������ӵ�е���Ŀ�ķ���Ȩ�ޣ�
aci: (targetattr = "mail")(version 3.0; acl "self access to
mail"; allow (read, search) userdn = "ldap:///self";)�������б�Ϊ�գ���Ϊ�� ACI ������ bjensen �������� objectclass ���Ե�Ȩ�ޡ����ϣ������������������ɹ�������밴���·�ʽ�� ACI��
aci: (targetattr = "mail || objectclass")(version 3.0; acl "self
access to mail"; allow (read, search) userdn = "ldap:///self";)Ȩ���
�� ACI ����У�Ȩ����ǣ�
allow|deny (rights)
���У�rights ��һ����(��(��4�Ĺؼ����б?���а�( 1 �� 8 ���Զ��ŷָ�Ĺؼ��֡���Ч�Ĺؼ����У�read��write��add��delete��search��compare��selfwrite�� proxy �� all��
������ʾ���У��������9�Ϊ true���������ȡ������ͱȽϷ��ʣ�
aci: (target="ldap:///dc=example,dc=com") (version 3.0;acl
"example"; allow (read, search, compare) bindRule;)
��������ijЩ�����������Ŀ¼����ȡ����ΪĿ¼����� ACI������������ṩ�� DN �Ϳ�����ʹ�� SSL�����ṩһ��֤�飩�����ܵ�¼��Ŀ¼�����Ŀ¼�����Լ�������֤���������ṩ��ƾ֤���Լ����������?�Ǿܾ��Ŀ¼���з��ʡ�
ACI �����õ�ÿһ��Ȩ�����ж�Ӧ�İ����Ա���ϸ���������ƾ֤�Ͱ���
�İ������Ҫ�����Ŀ¼����Ա��������ij���ض��顣���ӵİ����������ij���˱��������ض��飬���ұ���ͨ��ʹ���ض� IP ��ַ�ļ���������� 8 ������� 5 ��֮����е�¼��
�������˺��ˡ���ʱ���Լ��Ӻδ����Է���Ŀ¼�������ؽ����������ָ����
���⣬��������Ǹ��ӽṹ���Ա�ͨ��ʹ�ò��������4�ϲ�������й���ϸ��Ϣ���������ʹ�ò��������
�� RFC 2251 ����Ŀ¼����Э�� (v3) �������������һ����ֵ���9� ACI ��ʹ�õ������ʽ������ֵ�������������9� LDAP �������������֮������������ʽ�е���������9�Ϊδ���壨���磬���������Դ���ƶ���ֹ�ı��ʽ���9#���������������ȷ���������������������Ȩ�ޣ���Ϊ�ڸ��ӵIJ�����ʽ�з�����δ�����ֵ��
������
�����?�Ǿܾ���ʣ���ȡ����һ�� ACI �İ����Ƿ��9�Ϊ true������ʹ������}��ģʽ֮һ��
keyword = "expression";
keyword != "expression";
���У��Ⱥ� (=) ��ʾ keyword �� expression ����ƥ����ܱ�֤����Ϊ true����Ⱥ� (!=) ��ʾ keyword �� expression ���벻ƥ����ܱ�֤����Ϊ true��
expression }�߱�������� ("")������Ҫ�н綨�ֺ� (;)������ʹ�õı��ʽȡ���ڹ�j�� keyword��
�±��г���ÿ��ؼ����Լ���j�ı��ʽ����ָ�����ڱ��ʽ���Ƿ�����ʹ��ͨ���
���漸�ڽ�һ��������ÿ��ؼ��ֵİ������
�����û����ʡ�userdn �ؼ���
�û�������ʹ�� userdn �ؼ��ֽ��ж���ġ�userdn �ؼ�����Ҫһ�������Ч��ʶ��ƣ����������и�ʽ��
userdn = "ldap:///dn [|| ldap:///dn]..."
userdn != "ldap:///dn [|| ldap:///dn]..."���У�dn ������ DN �� anyone��all��self �� parent ���ʽ�е�ijһ����Щ���ʽ�����������û���
userdn �ؼ��ֻ����Ա�ʾ��������ʽ�� LDAP ������
userdn = ldap:///suffix??sub?(filter)
������ʣ�anyone �ؼ��֣�
�����Ŀ¼�����������ζ�ţ��κ��������ṩ�� DN �����Ϳ��Է������Ҳ��ܰ������Ρ�������ʿ��������ض��ķ������ͣ����磬��ȡ���ʻ�������ʣ���Ŀ¼�е��ض����������Ŀ��ʹ�� anyone �ؼ��ֵ��������Ҳ�������о�����֤���û����ʡ�
���磬�����Ҫ�������� example.com ����������ȡ��������ʣ������� dc=example,dc=com �ڵ㴴������ ACI��
aci: (version 3.0; acl "anonymous-read-search";
allow (read, search) userdn = "ldap:///anyone";)һ����ʣ�all �ؼ��֣�
����ʹ�ð���ָ��Ӧ�����Ѿ��ɹ��ذ�Ŀ¼���κ��˵�Ȩ�ޡ���ˣ�all �ؼ����������о�����֤���û����ʡ��⽫����һ����ʣ�ͬʱ�ֿɷ�ֹ������ʡ�
���磬�����Ҫ�����о�����֤���û�����������Ķ�ȡ���ʣ������� dc=example,dc=com �ڵ㴴������ ACI��
aci:(version 3.0; acl "all-read"; allow (read)
userdn="ldap:///all";)�Է��ʣ�self �ؼ��֣�
ָ���û��������ܾ�������Լ�����Ŀ�ķ��ʡ�����������£����� DN ƥ��Ŀ����Ŀ�� DN���������ܾ���ʡ�
���磬�����Ҫ���� example.com ���е������û������ǵ� userPassword ���Ե�д����ʣ�������� dc=example,dc=com �ڵ��ϴ������� ACI��
aci:(targetattr = "userPassword") (version 3.0; acl
"modify own password"; allow (write) userdn = "ldap:///self";)�����ʣ�parent �ؼ��֣�
ָ��ֻ�����û��İ� DN ��Ŀ����Ŀ�ĸ�����������û��ű������ܾ�Ը���Ŀ�ķ��ʡ���ע�⣬������ Server Console ���ֶ��༭ ACI ��ʹ�� parent �ؼ��֡�
���磬�����Ҫ�����û������ DN ����������Ŀ��������� dc=example,dc=com �ڵ��ϴ������� ACI��
aci:(version 3.0; acl "parent access";
allow (write) userdn="ldap:///parent";)LDAP URL
����ʹ�þ��й������ URL ��̬�ؽ� ACI �е��û���ΪĿ�꣬������ʾ��
userdn = "ldap:///suffix??sub?(filter)"
���磬���������� URL �����ܾ� example.com ��� accounting �� engineering ��֧�е������û���Ŀ����Դ���з��ʣ�
userdn = "ldap:///dc=example,dc=com??sub?(|(ou=eng)(ou=acct))"
�й� LDAP URL ����ϸ��Ϣ������ġ�Directory Server Administration Reference���е� Chapter 6 "LDAP URL Reference"��
ͨ���
������ͨ��ʹ��ͨ��� (*) ָ��һ���û������磬ָ�� uid=b*,dc=example,dc=com ���û� DN ��ʾ���������õ�Ȩ�ޣ�ֻ�о�������ĸ b ��ͷ�İ� DN ���û��ű������ܾ���ʡ�
LDAP URL ���� OR
ָ������ LDAP URL ��ؼ��ֱ��ʽ�Ա㴴���û����ʵĸ��ӹ������磺
userdn = "ldap:///uid=b*,c=example.com ||
ldap:///cn=b*,dc=example,dc=com";��������һ DN ģʽ���û��������9�Ϊ true��
�ų��ض� LDAP URL
ʹ�ò��Ⱥ� (!=) �������Զ��彫�ض� URL �� DN �ų�������û����ʡ����磺
userdn != "ldap:///uid=*,ou=Accounting,dc=example,dc=com";
���ͻ����Ϊ accounting �����еĻ��� UID �ı�ʶ��ƣ�������9�Ϊ true���˰���ֻ����Ŀ����Ŀ����Ŀ¼��� accounting ��֧�µ�����²������塣
��������ʡ�groupdn �ؼ���
�ض���ij�Ա���Է���Ŀ����Դ���ⱻ������������������ʹ�� groupdn �ؼ���4����ģ���ָ�����û�ʹ�������ض���� DN ������¶�Ŀ����Ŀ�ķ��ʽ������?�DZ��ܾ�
groupdn �ؼ�����Ҫһ�������ı�ʶ��ƣ����������и�ʽ��
groupdn="ldap:///groupDN [|| ldap:///groupDN]..."
���� DN ���������� groupDNs ָ�����飬������9�Ϊ true����һ�ڽ����ʹ�� groupdn �ؼ��ֵ�ʾ��
�� LDAP URL
groupdn = "ldap:///cn=Administrators,dc=example,dc=com";
���� DN ���� Administrators �飬������9�Ϊ true�������Ҫ���� Administrators ������Ŀ¼�����д���Ȩ�ޣ�������� dc=example,dc=com �ڵ㴴������ ACI��
aci:(version 3.0; acl "Administrators-write"; allow (write)
groupdn="ldap:///cn=Administrators,dc=example,dc=com";)LDAP URL ���� OR
groupdn = "ldap:///cn=Administrators,dc=example,dc=com ||
ldap:///cn=Mail Administrators,dc=example,dc=com";���� DN ���� Administrators ��� Mail Administrators �飬������9�Ϊ true��
�����ɫ���ʡ�roledn �ؼ���
�ض���ɫ�ij�Ա���Է���Ŀ����Դ���ⱻ������ɫ��������ɫ������ʹ�� Roledn �ؼ���4����ģ���ָ�����û�ʹ�������ض���ɫ�� DN ������¶�Ŀ����Ŀ�ķ��ʽ������?�Ǿܾ�
roledn �ؼ�����Ҫһ�������Ч��ʶ��ƣ����������и�ʽ��
roledn = "ldap:///dn [|| ldap:///dn]...[|| ldap:///dn]"
���� DN ����ָ����ɫ��������9�Ϊ true��
roledn �ؼ����� groupdn �ؼ��־�����ͬ���ʹ�÷�ʽҲ��ͬ��
����ֵƥ��4�������
�������ð�����ָ�����ڰ�Ŀ¼����Ŀ������ֵ����ƥ��Ŀ����Ŀ������ֵ��
���磬����ָ���� DN ����ƥ��һ���û���Ŀ�� manager �����е� DN ����ʹ ACI Ӧ�á�����������£�ֻ���û��Ĺ���Ա�ſ��Է��ʸ���Ŀ��
��ʾ����� DN ƥ�䡣Ȼ����Խ�����ʹ�õ���Ŀ���κ�������Ŀ����Ŀ����ƥ�䡣���磬���Դ���һ�� ACI���������� favoriteDrink ������ beer ���κ��û���ȡ������ͬ�� favoriteDrink ֵ�������û���������Ŀ��
ʹ�� userattr �ؼ���
userattr �ؼ��ֿ�����ָ����Щ����ֵ���������ڰ���Ŀ��Ŀ����Ŀ֮�����ƥ�䡣
����ָ����
userattr �ؼ��ֵ� LDIF �������ʾ��
userattr = "attrName#bindType"
���ߣ����ʹ����Ҫ���û� DN���� DN����ɫ DN �� LDAP ������֮���ֵ���������ͣ�
userattr = "attrName#attrValue"
����
���漸���ṩ���и��ֿ��ܵİ����͵� userattr �ؼ��ֵ�ʾ��
���� USERDN �����͵�ʾ��
������������û� DN �İ�j�� userattr �ؼ��ֵ�ʾ��
userattr = "manager#USERDN"
���� DN ƥ��Ŀ����Ŀ�е� manager ���Ե�ֵ��������9�Ϊ true������ʹ���������û��Ĺ���Ա��Ա�������ԡ��˻���ֻ����Ŀ����Ŀ�е� manager ���Ա�ʾ������ DN ������²������á�
����ʾ���������Ա����Ա������Ŀ����ȫ����Ȩ��
aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
(version 3.0;acl "manager-write";
allow (all) userattr = "manager#USERDN";)���� GROUPDN �����͵�ʾ��
������������� DN �İ�j�� userattr �ؼ��ֵ�ʾ��
userattr = "owner#GROUPDN"
���� DN ��Ŀ����Ŀ�� owner ������ָ����һ����ij�Ա��������9�Ϊ true�����磬����ʹ�ô˻�������һ�������Ա����״̬��Ϣ������ʹ�ó� owner ֮������ԣ�ֻҪ��ʹ�õ�����һ������Ŀ�� DN��
ָ���������Ƕ�̬�飬����� DN ������Ŀ¼�е��κκ��¡�Ȼ���������������͵� ACI ���9������Դ�dz����
���ʹ������Ŀ����Ŀ��ͬ�ĺ��µľ�̬�飬�����ʹ�����б��ʽ��
userattr = "ldap:///dc=example,dc=com?owner#GROUPDN"
�ڴ�ʾ���У�����Ŀ���� dc=example,dc=com ���¡���������Ա���ǰ��ʾ����ش����������͵����
���� ROLEDN �����͵�ʾ��
����������ڽ�ɫ DN �İ�j�� userattr �ؼ��ֵ�ʾ��
userattr = "exampleEmployeeReportsTo#ROLEDN"
���� DN ����Ŀ����Ŀ�� exampleEmployeeReportsTo ������ָ���Ľ�ɫ��������9�Ϊ true�����磬���Ϊ��˾�����о��?��Ƕ��ɫ�������ʹ�ô˻����������м���ľ�����ʵȼ��������Լ��͵�Ա������Ϣ��Ȩ�ޡ�
��ɫ�� DN ������Ŀ¼�е��κκ��¡����⣬���ʹ�ù��˵Ľ�ɫ�����������͵� ACI ���9;�ռ�÷������ϵ������Դ��
���� LDAPURL �����͵�ʾ��
����������� LDAP ������İ�j�� userattr �ؼ��ֵ�ʾ��
userattr = "myfilter#LDAPURL"
���� DN ƥ��Ŀ����Ŀ�� myfilter ������ָ���Ĺ�����������9�Ϊ true��myfilter ���Կ����滻Ϊ�� LDAP ��������κ����ԡ�
�����κ�����ֵ��ʾ��
������������κ�����ֵ�İ�j�� userattr �ؼ��ֵ�ʾ��
userattr = "favoriteDrink#Beer"
���� DN ��Ŀ�� DN ��(���� Beer ֵ�� favoriteDrink ���ԣ�������9�Ϊ true��
ʹ�þ��м̳��Ե� userattr �ؼ���
��ʹ�� userattr �ؼ��ֽ����ڰ���Ŀ��Ŀ����Ŀ��jʱ��ACI ֻӦ����ָ����Ŀ�꣬��Ӧ�������������Ŀ����ijЩ����£����Խ� ACI Ӧ����Ŀ����Ŀ�������ͨ��ʹ�� parent �ؼ��֣���ָ��Ӧ�ü̳� ACI ��Ŀ������ļ�����Ϳ�������һ�㡣
�ڽ� userattr �ؼ����� parent �ؼ���j��ʹ��ʱ���������ʾ��
userattr = "parent[inheritance_level].attribute#bindType"
���� ��
���磺
userattr = "parent[0,1].manager#USERDN"
���� DN ƥ��Ŀ����Ŀ�� manager ���ԣ���˰����9�Ϊ true���������9�Ϊ true ʱ�����Ȩ��Ӧ����Ŀ����Ŀ��Ӧ���ڽ����������������Ŀ��
���� userattr �̳��Ե�ʾ��
��ͼ�е�ʾ���ʾ�û� bjensen �������ȡ������ cn=Profiles ��Ŀ�Լ���( cn=mail �� cn=news ������Ŀ�ĵ�һ���
ͼ 6-1 ʹ�þ��� userattr �ؼ��ֵļ̳�
�ڴ�ʾ���У����û��ʹ�ü̳��ԣ������ִ�����в���֮һ�Ի����ͬ���
ʹ�� userattr �ؼ����������Ȩ��
��� userattr �ؼ����� all �� add Ȩ��һ��ʹ�ã���ᷢ�ַ��������Ϊ������Ԥ�ڵ�����ͨ��������Ŀ¼�д�������Ŀʱ��Directory Server �9����ڴ�������Ŀ�ϵķ���Ȩ�ޣ������98���Ŀ�ϵķ���Ȩ�ޡ�Ȼ���� ACI ʹ�� userattr �ؼ��ֵ�����£�����Ϊ���ܻ���ɰ�ȫ©���������ķ����������Ϊ�Ա����������
�뿴����ʾ��
aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
(version 3.0; acl "manager-write"; allow (all)
userattr = "manager#USERDN";)�� ACI �������Ա�������DZ����Ա������Ŀ������Ȩ�ޡ�Ȼ�����ڷ���Ȩ���������ڴ�������Ŀ���95ģ��������͵� ACI ���������κ�Ա�������� manager ���Ա�����Ϊ�����Լ��� DN ����Ŀ�����磬�������Ա�� Joe (cn=Joe,ou=eng,dc=example,dc=com) ������Ҫ����� Human Resources ��֧�д���һ����Ŀ����ʹ�ã������ã����� Human Resources Ա����Ȩ�ޡ�
�����ͨ��������Ŀ����һ�㣺
dn: cn= Trojan Horse,ou=Human Resources,dc=example,dc=com
objectclass: top
...
cn: Trojan Horse
manager: cn=Joe,ou=eng,dc=example,dc=comΪ�����������͵İ�ȫ��в��ACI �99�̲��ڼ��� 0�����������Ŀ���?�������Ȩ�ޡ�Ȼ�����ʹ�� parent �ؼ��������е���Ŀ�����������Ȩ�ޡ�����Ϊ���Ȩ��ָ������������ļ��������磬���� ACI �������� manager ����ƥ��� DN �� dc=example,dc=com �е��κ���Ŀ�������Ŀ��
aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
(version 3.0; acl "parent-access"; allow (add)
userattr = "parent[0,1].manager#USERDN";)�� ACI ȷ��ֻ����� DN ƥ�丸��Ŀ�� manager ���Ե��û��������Ȩ�ޡ�
����4���ض� IP ��ַ�ķ���
ͨ��ʹ�ð�����ָ�������뷢��һ���ض� IP ��ַ����ͨ������ǿ�ƴ�һ���������������������Ŀ¼���¡�
���û��� IP ��ַ�İ���� LDIF �������ʾ��
ip = "IPaddressList" �� ip != "IPaddressList"
IPaddressList ��һ������Զ��ŷָ��Ԫ���б?����Ϊ��������ֵ��
- �ض� IPv4 ��ַ�� 123.45.6.7
- ����ͨ���� IPv4 ��ַ��4ָ�������磺 12.3.45.*
- ������������� IPv4 ��ַ�������磺 123.45.6.*+255.255.255.115
- ������Ϸ���ʽ���ֵ� IPv6 ��ַ���� RFC2373 (http://www.ietf.org/rfc/rfc2373.txt) �ж��塣���µ�ַ�ǵ�Ч�ģ�
- ��������ǰ���ȵ� IPv6 ��ַ��12AB::CD30:0:0:0:0/60
������Ŀ¼�Ŀͻ���λ��ָ���� IP ��ַ��������9�Ϊ true������ֻ������ض������������е�ijЩ���͵�Ŀ¼���ʷdz����á���ע�⣬���û���֤λ�ÿ��ܲ���ʵ���������Ρ��벻Ҫ�� ACI ����ڴ���Ϣ��
���Դ� Server Console ͨ����ʿ��Ʊ༭��������Ӧ�� ACI ���ض�������й���ϸ��Ϣ���������ʹ�ÿ���̨���� ACI����
����4���ض���ķ���
�������ָ��������뷢��һ���ض���������ͨ������ǿ�ƴ�һ���������������������Ŀ¼���¡�
���û��� DNS �����İ���� LDIF �������ʾ��
dns = "DNS_Hostname" �� dns != "DNS_Hostname"
dns �ؼ���Ҫ����ȫ���Ҫ��� DNS ������������ķ��ʶ�ָ������4DZ�ڵİ�ȫ��в�����磬����ʹ�����б��ʽ����������ʹ�ã�
dns = "legend.eng";
Ӧ��ʹ����ȫ���Ҫ�����ƣ��磺
dns = "legend.eng.example.com";
dns �ؼ�������ʹ��ͨ������磺
dns = "*.example.com";
������Ŀ¼�Ŀͻ���λ��ָ������������9�Ϊ true�������ֻ������ض�����з��ʷdz����á�ע�⣬���ϵͳʹ�� DNS ֮������������ͨ��������á������������£������Ҫ���ƶ��ض���ķ��ʣ�����ʹ�� ip �ؼ��֣���������4���ض� IP ��ַ�ķ��ʡ���������ġ�
�����ض�ʱ������ڵķ���
����ʹ�ð���ָ����ֻ����ijЩʱ�����һ�������е�ijЩ�췢�����磬��������һ������Ա�ֻ����������һ������������ 8 ������� 5 ��֮����еķ��ʡ������97���Ȩ��ʱ���� Directory Server �ϵ�ʱ�䣬���ǿͻ����ϵ�ʱ�䡣
���û���ʱ��İ���� LDIF �������ʾ��
timeofday operator "time"
���� operator ���������з��֮һ���Ⱥ� (=)�����Ⱥ� (!=)�����ں� (>)�����ڵ��ں� (>=)��С�ں� (<) ����С�ڵ��ں� (<=)��ʱ������λ���ֵ���ʽ��ʾ����� 24 Сʱ�Ƶ�Сʱ�ͷ��ӣ�0 �� 2359�������磺
- ���ͻ�����ϵͳʱ����ʾΪ�������һ�����ڷ���Ŀ¼���� timeofday = "1200"; ��Ϊ true��
- timeofday != "0100"; �ڳ��賿 1��������κ�ʱ����з���ʱ��Ϊ true��
- timeofday > "0800"; �ڴ����� 8:01 ������ 11:59 ֮����з���ʱΪ true��
- timeofday >= "0800"; �ڴ����� 8:00 ������ 11:59 ֮����з���ʱΪ true��
- timeofday < "1800"; �ڴ���ҹ 12:00 ������ 5:59 ֮����з���ʱΪ true��
���û���һ���ڸ���İ���� LDIF �������ʾ��
dayofweek = "day1, day2 ..."
dayofweek �ؼ��ֵĿ��ܵ�ֵ�����ڼ������Ӣ����ĸ��д��sun��mon��tue��wed��thu��fri��sat��ָ��Ҫ�������Ȩ�������죬���磺
dayofweek = "Mon, Tue, Wed, Thu, Fri";
����������г��ijһ���з���Ŀ¼�������Ϊ true��
���������֤�����ķ���
�������ð���������ͻ������ʹ���ض���֤������Ŀ¼�����õ���֤�����У�
�� SSL ������£���b�� LDAPS �ڶ���˿ڵ�l�ӣ��� TLS ������£�ͨ��һ��ʼ TLS ����bl�ӡ�����}������£��������ṩ֤�顣�й����� SSL ����Ϣ��������� 11 �¡�������֤�ͼ��ܡ���
����ͨ����ʿ��Ʊ༭�����û�����֤�İ���
���û�����֤�����İ���� LDIF �������ʾ��
authmethod = "authentication_method"
���� authentication_method �� none��simple��ssl �� sasl sasl_mechanism�����磺
ʾ��
������ authmethod �ؼ��ֵ�ʾ��
- authmethod = "none"�� �ڰ����9��ڼ䲻�����֤��
- authmethod = "simple"; ���ͻ���ʹ���û���Ϳ������Ŀ¼��������9�Ϊ true��
- authmethod = "ssl"; ���ͻ���ͨ�� LDAPS ʹ��֤����Ŀ¼������֤��������9�Ϊ true�����ͻ���ͨ�� LDAPS ʹ�ü���֤���� DN �Ϳ��������֤����Ϊ true��
- authmethod = "sasl DIGEST-MD5"; ���ͻ���ʹ�� SASL DIGEST-MD5 ���Ʒ���Ŀ¼��������9�Ϊ true��������֧�ֵ� SASL ������ EXTERNAL������ƽ̨���� GSSAPI������ Solaris ϵͳ�ϣ���
ʹ�ò������
����ʹ�ò�����ʽ AND��OR���Լ� NOT 4����������Ϊ���ӵı��ʽ���Ա��dz���ȷ�ķ��ʹ�����ʹ�� Server Console ������������봴�� LDIF ��䡣
�������� LDIF �������ʾ��
bindRule [boolean][bindRule][boolean][bindRule]...;)
���磬���� DN �ǹ���Ա������ʼ�����Ա��ij�Ա�����ҿͻ��������� example.com ���ڣ���ô����İ����9�Ϊ true��
(groupdn = "ldap:///cn=administrators,dc=example,dc=com" or
groupdn = "ldap:///cn=mail administrators,dc=example,dc=com" and
dns = "*.example.com";)��ĩ�ֺ� (;) �DZ���ķָ��Ӧ���������һ�����֮��
�Բ�����ʽ���9���ѭ����˳��
���� OR �Ͳ��� AND �����û�����ȼ�˳��
�뿴����IJ������
(bindRule_A) OR (bindRule_B)
(bindRule_B) OR (bindRule_A)
���ڲ�����ʽ�Ǵ������ҽ����95ģ������ڵ�һ������£����� A �ڰ��� B ֮ǰ�����9#����ڵڶ�������£����� B �ڰ��� A ֮ǰ�����9!�
���ǣ����� NOT �ڲ��� OR �Ͳ��� AND ֮ǰ�����9!���ˣ��������ʾ���У�
(bindRule_A) AND NOT (bindRule_B)
���ܴ��ڴ������ҵĹ������� B �����ڰ��� A ֮ǰ�����9!�
�������д��� ACI����ʹ�� LDIF ����ֶ��������ʿ���ָ��Լ�ʹ�� ldapmodify ���������ӵ�Ŀ¼����Ϊ ACI ֵ���ܷdz����ӣ����Բ鿴����ֵ��������и�����Э���µ� ACI����һ���dz����á�
�鿴 aci ����ֵ
ACI ��Ϊ aci ���Ե�һ�����ֵ�洢����Ŀ�ϡ�aci �����Ƕ�ֵ�������ԣ�������Ŀ¼�û���ȡ���ģ�����Ӧ���� ACI �����������û�ͨ��������� aci ���Ե���ȫ����Ȩ��������������ijһ�ַ�ʽ�鿴��ֵ��
������ͨ�ñ༭������鿴�κ�����ֵһ��鿴 aci ����ֵ���� Directory Server Console �Ķ�����Ŀ¼��ѡ��У��Ҽ����� ACI ����Ŀ����ѡ����ͨ�ñ༭����б༭���˵��Ȼ��aci ֵͨ���������ڴ˶Ի����в鿴�ͱ༭�ij��ַ�
�෴������ͨ���һ�Ŀ¼���е���Ŀ��ѡ�����÷���Ȩ�ޡ��˵���Ա���á����ʿ��Ʊ༭���ѡ��һ�� ACI ������༭����Ȼ���ֶ��༭���Բ鿴��Ӧ�� aci ֵ��ͨ���� ACI ���ֶ��Ϳ��ӱ༭��֮���л������Խ� aci ֵ����������ý��бȽϡ�
������ϵͳ���?����Դӡ�ͨ�ñ༭����ֶ����ʿ��Ʊ༭����� aci ֵ������ճ�� LDIF �ļ��С������û�������ͨ���������� ldapsearch ����4�鿴��Ŀ�� aci ���ԣ�
ldapsearch -h host -p port -D "cn=Directory Manager" -w password \
-b entryDN -s base "(objectclass=*)" aci���Ϊ LDIF �ı������Խ��临�Ƶ��µ� LDIF ACI �������Ա����ڱ༭������ ACI ��ֵ�dz��ַ���� ldapsearch ����������ܻ���ʾΪ���У���һ��ո���һ������ǡ����ƺ�ճ�� LDIF ���ʱ�뽫��һ�㿼�ǽ�4��
ע
Ҫ�鿴�������ܾ��Ȩ��4��ʾ�� aci ֵ��Ч����������鿴��ЧȨ�ޡ���
ʹ�ÿ���̨���� ACI�������� Directory Server Console 4��ʾĿ¼�е���Щ��Ŀ���� aci ���ԡ�ͨ��ѡ���ȡ��ѡ�鿴��>����ʾ��>��ACI ����˵�����л�����ʾ�������ġ�Ŀ¼��ѡ����г����Ŀ�������ӣ�ͬʱ��ʾ�����ǵ� aci �����ж���� ACI ������Ȼ�������ʹ�� Directory Server Console �鿴���������༭��ɾ��Ŀ¼�ķ��ʿ���ָ�
����������ʿ����÷�ʾ�������˽� Directory Server ��ȫ������ͨ��ʹ�õ�һ����ʿ��ƹ����Լ��й�ʹ�� Directory Server Console ������Щ����ķֲ�ָ����
�����ʿ��Ʊ༭��������ڿ��ӱ༭ģʽ�¹���ijЩ�Ƚϸ��ӵ� ACI�����彫������ͨ����ʿ��Ʊ༭��ִ�����в���
- �ܾ���ʣ��������Ȩ�������
- ��������ֵ�� ACI���������ʹ�� LDAP ����������ֵ��ΪĿ�ꡱ��
- ���常���ʣ�������������ʣ�parent �ؼ��֣�����
- ����������� ACI���������ʹ�ò��������
- ��ͨ������£�����ʹ�����йؼ��ֵ� ACI��roledn��userattr��authmethod
�鿴��Ŀ�� ACI
- �� Directory Server Console �Ķ�����Ŀ¼��ѡ��У����Ŀ¼������ʾҪΪ�����÷��ʿ��Ƶ���Ŀ����������Ŀ¼����Ա����Ȩ���ܱ༭ ACI��
- �Ҽ�����Ŀ���ӵ���˵���ѡ�����÷���Ȩ�ޡ������ߣ��������������Ŀ����ѡ����ӡ����˵���ѡ�����÷���Ȩ�ޡ���
��ʾ�����ʿ��ƹ��?�Ի�������ͼ��ʾ�������г��˶���ѡ��Ŀ�϶�������� ACI �������������༭��ɾ�����ǣ��Լ������µ� ACI��
ͼ 6-2 �����ʿ��ƹ��?�Ի���
���ѡ�С���ʾ�̳е� ACI����ѡ�����г�����ѡ��Ŀ�ĸ��������Ӧ���ڸ���Ŀ������ ACI���̳е� ACI ���ܱ��༭��ɾ��������ڶ�����Щ ACI ����Ŀ�϶�����й��?
- �����½�������ѡ����������������϶����µķ���Ȩ�ޡ�����ʾ��ͼ 6-3 ����ʾ�� ACI �༭��
ͼ 6-3 ��ACI �༭��Ի���
�Ի����� ACI ����ǶԽ������ڡ����ʿ��ƹ��?�Ի����е� ACI �������ṩ�����Ե� ACI ��ƽ�ʹ�ö����Ŀ¼�е� ACI ���й����ø����ף��ر����ڲ鿴Ҷ��Ŀ�ϼ̳е� ACI ʱ������ˡ�
�����ʿ��Ʊ༭���ѡ�������ָ���������ܾ���ʵ��û��������ʻ����Ƶ�Ŀ�꣬�Լ����类����������Ͳ������֮��ĸ������йء����ʿ��ơ�ѡ��еĵ����ֶε���ϸ��Ϣ�������j�����
ACI �༭���ѡ���ͼ�η�ʽ��ʾ�� ACI ֵ�����ݡ������ֶ��༭����ť�Բ鿴 ACI ֵ�������ı�״̬�¶�����б༭�����ı��༭���У����Զ��岻��ͨ��ѡ�����ĸ� ACI��������ʹ��ʹ�ø����ܣ�һ���༭�� ACI ֵ�Ͳ������ڿ���״̬�±༭ ACI��
�����µ� ACI
- ��ʾ�����ʿ��Ʊ༭���
�����������鿴��Ŀ�� ACI�� �н���
�����ʾ����ͼ��ͬ��ͼ 6-3�����뵥����ӱ༭����
- �ڡ�ACI ��ơ��ı����м������4�� ACI ��������
��ƿ������κ��ַ�����Ψһ�ر�ʶ�� ACI�����û��������ƣ�������ʹ��δ����� ACI��
- �ڡ��û�/�顱ѡ��У�ͻ����ʾ�������û�������ӡ���ť4��Ŀ¼������Ҫ���������Ȩ���û���
�ڡ�����û����顱�����У�
- �ڡ����ʿ��Ʊ༭���У�����Ȩ�ޡ�ѡ�����ʹ�ø�ѡ��4ѡ��Ҫ�����Ȩ�ޡ�
- ����Ŀ�ꡱѡ���Ȼ�����Ŀ��4��ʾ�� ACI ����ԵĽڵ㡣
����Ը��Ŀ�� DN ��ֵ������ DN ������ѡ����Ŀ��ֱ�ӻ�������Ŀ��
���ϣ��˽ڵ��µ������е�ÿһ����Ŀ�����ø� ACI����ô�����ڡ�����Ŀ���ֶεġ��������С�����һ�������
���⣬������ͨ���������б���ѡ�����������4�� ACI �������������ڸ�������ϡ�
- �������ѡ���Ȼ����ӡ���ť4��ʾ�������������Ի���
����ָ�������� IP ��ַ�����ָ�� IP ��ַ��������ʹ��ͨ��� (*)��
- ����ʱ�䡱ѡ�����ʾһ��������ʾ������Щʱ��������ʵı?
Ĭ������£����κ�ʱ��������ʡ�����ͨ����ڱ������ƹ��4��ķ���ʱ�䡣����ѡ��l���ʱ��顣
- �༭�� ACI ֮����ȷ������
��ACI �༭��رգ��µ� ACI �ڡ�ACI ����������г�
�༭ ACI
Ҫ�༭ ACI��
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������еĶ�����Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ���
�����ʿ��ƹ�������ڽ���ʾ��4��������ڸ���Ŀ�� ACI �б?
- �ڡ����ʿ��ƹ�������ڣ�ͻ����ʾ��Ҫ�༭�� ACI��������༭����
�����ʿ��Ʊ༭�����ʾ��4���йؿ���ʹ�ô˶Ի���༭����Ϣ����ϸ��Ϣ�������j�����
- �ڡ����ʿ��Ʊ༭��ĸ���ѡ��½�������ĸ�ġ�
- �༭�� ACI ֮����ȷ������
��ACI �༭��رգ��ĵ� ACI �ڡ�ACI ���������г�
ɾ�� ACI
Ҫɾ�� ACI��
���ʿ����÷�ʾ���������ṩ��ʾ��˵����һ���鹹�� ISP ��˾ example.com ���ʵ������ʿ��Ʋ��ԡ�����ʾ��������δӿ���̨��ʹ�� LDIF �ļ�ִ�и�����
Example.com ��ҵ�����ṩ Web �йܷ���� Internet ���ʡ�Example.com �� Web �йܷ����һ�������йܿͻ���˾��Ŀ¼��Example.com ʵ���йܲ����ֹ���}���еȹ�ģ�Ĺ�˾ Company333 �� Company999 ��Ŀ¼�����������û��ṩ Internet ���ʡ�
������ example.com ��Ҫʵʩ�ķ��ʿ��ƹ���
- Ϊ example.com ��Ա���������� example.com ��Ķ�ȡ������ͱȽϵ��������Ȩ�ޣ������������������ʡ�����
- ���� example.com Ա������ homeTelephoneNumber��homeAddress ֮��ĸ�����Ϣ��д�����Ȩ�ޣ������������Ը�����Ŀ��дȨ�ޡ�����
- ���� example.com Ա��������Ŀ����ӳ�ijЩ�ؼ��ɫ֮����κν�ɫ��Ȩ�ޣ�����������ƶԹؼ��ɫ�ķ���Ȩ�ޡ�����
- ���� example.com Human Resources ��� People ��֧�е���Ŀ���в��������Ȩ�ޣ��������������Ժ�����ȫ����Ȩ�ޡ�����
- �������� example.com Ա����Ŀ¼�� Social Committee ��֧�´�������Ŀ��Ȩ�ޣ��Լ�ɾ����ӵ�е���Ŀ��Ȩ�ޣ��������������Ӻ�ɾ������Ŀ��Ȩ�ޡ�����
- �������� example.com Ա���������Լ���ӵ�Ŀ¼�� Social Committee ��֧�µ�����Ŀ��Ȩ�ޣ�������������û���������ӻ�ɾ�������?����
- ���� Company333 �� Company999 ��Ŀ¼����Ա����ɫ����Ŀ¼�������Ǹ��Եķ�֧�ķ���Ȩ������������ SSL ��֤��ʱ����������ƣ��Լ�ָ����λ��֮���ijЩ���������������������ɫ���������Ȩ������
- ���赥���û������Լ�����Ŀ�ķ���Ȩ�������������Ը�����Ŀ��дȨ�ޡ�����
- �ܾ���û��������Լ���Ŀ�еļ�����Ϣ�ķ���Ȩ����������ܾ���ʡ�����
- ���������Ե����û�������������Ȩ���ر������г���û����⡣���˲���Ŀ¼�����Ƿ;�ǽ�ⲿ�Ĵ�������������һ�����һ�Ρ��������������������ʡ�����ʹ�ù���������Ŀ�ꡱ��
�����������
�����Ŀ¼���������еģ�������������ط���һ����Ա��ȡ�������Ƚϡ����磬�����������һ����ҪԱ���ܹ��������ҵ��ԱĿ¼������绰�������������Ҫ������ЩȨ�ޡ��� example.com �ڲ��������������� ACI ������ example.com�� ʾ���н���˵��
��Ϊһ�� ISP��example.com ��ϣ��ͨ��һ�����ɷ��ʵĹ��õ绰��4���������û�֪ͨjϵ��Ϣ���ⲿ���� ACI �������=硱ʾ���н���˵��
ACI ������ example.com��
�� LDIF �У�Ҫ�� example.com Ա���������� example.com ��Ķ�ȡ������ͱȽ�Ȩ�ޣ�����д��������䣺
aci: (targetattr !="userPassword")(version 3.0; acl "Anonymous
example"; allow (read, search, compare)
userdn= "ldap:///anyone" and dns="*.example.com";)��ʾ����� aci ����ӵ� dc=example,dc=com ��Ŀ��ע�⣬userPassword �����Ѵ� ACI �ķ�Χ���ų�
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������е� example.com �ڵ㣬���ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����롰���� example.com������������û��Ƿ���ʾ�ڱ��������Ȩ���û��б��С�
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�С���ȡ�������Ƚϡ��͡�����Ȩ�ޡ��ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=example,dc=com ���������Ա��У���λ userPassword ���Բ�����Ӧ�ĸ�ѡ��
��������ѡ��Ӧ�ñ�ѡ�С�������ơ���������ĸ˳����֯�����б?��������ñȽ����ס�
- �ڡ����ѡ��ϵ�����ӡ������� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
- ������ʿ��Ʊ༭������еġ�ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
ACI �������=硱
�� LDIF �У�Ҫ���������Ե����û�����Ķ�ȡ��������ʣ���ܾ��δ�г���û�����Ϣ���ʣ�����д��������䣺
aci: (targetfilter= "(!(unlistedSubscriber=yes))")
(targetattr="homePostalAddress || homePhone || mail")
(version 3.0; acl "Anonymous World"; allow (read, search)
userdn="ldap:///anyone";)��ʾ����� ACI ����ӵ� ou=subscribers,dc=example, dc=com ��Ŀ��������ÿһ���û���Ŀ�����п�������Ϊ yes �� no �� unlistedSubscriber ���ԡ�Ŀ�궨��ɸѡ����ڴ�����ֵ��δ�г���û����йع����������ϸ��Ϣ���������ʹ�ù���������Ŀ�ꡱ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µġ��û�����Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰�����=硱����������û��Ƿ���ʾ�ڱ��������Ȩ���û��б��С�
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�ж�ȡ������Ȩ�ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=subscribers, dc=example,dc=com ����
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
����Ը�����Ŀ��дȨ��
���Ŀ¼����Աϣ�������ڲ��û�������Լ�����Ŀ�е�ijЩ���Զ����������ԡ�example.com ��Ŀ¼����Աϣ�������û�������Լ��Ŀ����ͥ�绰���룬�Լ���ͥ��ַ�����������������κ���Ϣ���ⲿ���� ACI ��д�� example.com��ʾ���н���˵��
example.com �IJ��Ի��������ǵ��û����� example.com �����Լ��ĸ�����Ϣ��ǰ����������Ŀ¼��b SSL l�ӡ��ⲿ���� ACI ��д���û���ʾ���н���˵��
ACI ��� example.com��
�� LDIF �У�Ҫ���� example.com ��Ա���¿����ͥ�绰����ͼ�ͥ��ַ��Ȩ�ޣ�����д��������䣺
aci: (targetattr="userPassword || homePhone ||
homePostalAddress")(version 3.0; acl "Write example.com";
allow (write) userdn="ldap:///self" and dns="*.example.com";)��ʾ����� ACI ����ӵ� ou=People,dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������е� ou=People,dc=example,dc=com ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ���ʿ��ƹ�����
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰д�� example.com�����ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ������ ou=People,dc=example,dc=com ���롰Ŀ��Ŀ¼��Ŀ���ֶ��С������Ա��У�ѡ�� homePhone��homePostalAddress���Լ� userPassword ���Եĸ�ѡ��
��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ����ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�
- �ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
- ������ʿ��Ʊ༭������е�ȷ����
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
ACI ��д���û���
�� LDIF �У�Ҫ���� example.com �û����¿����ͥ�绰�����Ȩ�ޣ�����д��������䣺
aci: (targetattr="userPassword || homePhone")
(version 3.0; acl "Write Subscribers"; allow (write)
userdn= "ldap://self" and authmethod="ssl";)��ʾ����� aci ����ӵ� ou=subscribers,dc=example, dc=com ��Ŀ��
��ע�⣬example.com �û������ж����ͥ��ַ��д�����Ȩ�ޣ���Ϊ���ǿ���ɾ������ԣ��� example.com ��Ҫ����Ϣ���м��ʡ���ˣ���ͥ��ַ�Ƕ�ҵ��ȽϹؼ����Ϣ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����롰д���û������ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=subscribers, dc=example,dc=com ����
- ���ϣ���û�ʹ�� SSL ������֤����ͨ����ֶ��༭����ť�л����ֶ��༭������ authmethod=ssl ��ӵ� LDIF ��䣬��ʹ�����ʽ���£�
(targetattr="homePostalAddress || homePhone || mail")
(version 3.0; acl "Write Subscribers"; allow (write)
(userdn= "ldap:///self") and authmethod="ssl";)��ע�⣬����һ��l����У�ֻ�dz��ڿɶ��ԲŽ����˲�֡�
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
���ƶԹؼ��ɫ�ķ���Ȩ��
����ʹ��Ŀ¼�еĽ�ɫ�����Ա�ʶ��ҵ�������Ŀ¼�Ĺ��?������Ŀ�Ĺؼ�Ĺ��ܡ�
���磬����ͨ���ʶȫ�=���ҵվ�����ض�ʱ������ڼ����õ�ϵͳ����Ա�Ӽ�4���� superAdmin ��ɫ�����߿��Դ��� First Aid ��ɫ����(���ض�վ������˼�����ѵ�����г�Ա���йش�����ɫ�������Ϣ��������������ɫ����
��ij���ɫ�ṩ���κ�һ����Ȩ�����˹ؼ���ҵ��ҵ����ʱ��Ӧ�ÿ������ƶԸý�ɫ�ķ��ʡ����磬�� example.com����Ա���Խ��� superAdmin ��ɫ֮����κν�ɫ��ӵ��Լ�����Ŀ�С��ⲿ���� ACI ����ɫ��ʾ���н���˵��
ACI ����ɫ��
�� LDIF �У�Ҫ���� example.com ��Ա���� superAdmin ��ɫ֮����κν�ɫ��ӵ������Լ�����Ŀ��Ȩ�ޣ�����д��������䣺
aci: (targetattr="*") (targattrfilters="add=nsRoleDN:
(nsRoleDN !="cn=superAdmin, dc=example, dc=com")")
(version 3.0; acl "Roles"; allow (write)
userdn= "ldap:///self" and dns="*.example.com";)��ʾ����� ACI ����ӵ� ou=People,dc=example, dc=com ��Ŀ�С�
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������е� example.com �ڵ㣬���ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰��ɫ�����ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�ĸ�ѡ��ȷ������ѡ�����
- �ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
- ҪΪ��ɫ��������ֵ�Ĺ������ͨ����ֶ��༭����ť�л����ֶ��༭��������������ӵ� LDIF ���Ŀ�ʼ��
(targattrfilters="add=nsRoleDN:
(nsRoleDN != "cn=superAdmin, dc=example,dc=com")")LDIF ������ʽӦ�����£�
(targetattr="*") (targattrfilters="add=nsRoleDN:
(nsRoleDN != "cn=superAdmin, dc=example,dc=com")")
(target = "ldap:///dc=example,dc=com")
(version 3.0; acl "Roles"; allow (write)
(userdn = "ldap:///self") and (dns="*.example.com");)- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
������Ժ�����ȫ����Ȩ��
�����Ŀ¼�������ڱ�ʶijЩ��ҵ���ܵ��顣���Ը���Щ����������Ŀ¼��Ŀ¼����ȫ����Ȩ�ޡ�ͨ�������Ӧ�÷���Ȩ�ޣ����Ա���ֱ��Ϊÿ���Ա���÷���Ȩ�ޡ��෴������ֻͨ���û���ӵ�����4������������Щ����Ȩ�ޡ�
���磬��ʹ�õ��Ͱ�װ��̰�װ Directory Server ʱ��Ĭ������½�������Ŀ¼������ȫ����Ȩ�� Administrators �顣
�� example.com��Human Resources �鱻�����Ŀ¼�� ou=People ��֧����ȫ����Ȩ����ʹ���ǿ��Ը��¹�ԱĿ¼���ⲿ���� ACI "HR" ʾ���н���˵��
ACI "HR"
�� LDIF �У�Ҫ���� HR ���Ŀ¼�Ĺ�Ա��֧������Ȩ�ޣ�����ʹ��������䣺
aci: (targetattr="*") (version 3.0; acl "HR"; allow (all)
userdn= "ldap:///cn=HRgroup,ou=People,dc=example,dc=com";)��ʾ����� ACI ����ӵ� ou=People,dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ� example.com-people ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����� "HR"���ڱ��������Ȩ���û��б��У�ִ�����²���
- ѡ��ɾ�������û���Ȼ����ӡ���
��ʾ������û����顱�Ի���
- ��������������Ϊ�û����飬���������ֶ��м��� "HRgroup"��
��ʾ������Ѿ������� HR ����ɫ���й���ͽ�ɫ����ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ��
- ������ӡ���ť���ڱ��������Ȩ���û��б����г� HR �顣
- ����ȷ�������رա�����û����顱�Ի���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�����ȫ��ѡ�С���ť��
�����Ȩ����������и�ѡ��ѡ�С�
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
������Ӻ�ɾ������Ŀ��Ȩ��
ijЩ��֯ϣ�������Ա�����д�����Ŀ��������������������ǵ�Ч�ʣ�������������������ҵ�Ļ�f��
���磬�� example.com����һ���Ծ�����ίԱ�ᣬ�ɸ��־��ֲ���ɣ�������Ӿ����ѩ����ɫ���ݵȡ��κ� example.com ��Ա�����Դ���һ�����¾��ֲ�������Ŀ���ⲿ���� ACI �������顱ʾ���н���˵���κ� example.com ��Ա�����Գ�Ϊ��Щ���е�ijһ����ij�Ա���ⲿ�����������û���������ӻ�ɾ�������?�µ� ACI �����Ա���н�����˵��ֻ����������߲����Ļ�ɾ������Ŀ���ⲿ���� ACI ��ɾ���顱ʾ���н���˵��
ACI �������顱
�� LDIF �У�Ҫ���� example.com ��Ա�� ou=Social Committee ��֧�´�������Ŀ��Ȩ�ޣ�����д��������䣺
aci: (target="ldap:///ou=social committee,dc=example,dc=com")
(targetattr="*")(targattrfilters="add=objectClass:
(|(objectClass=groupOfNames)(objectClass=top))")
(version 3.0; acl "Create Group"; allow (read,search,add)
userdn= "ldap:///uid=*,ou=People,dc=example,dc=com")
and dns="*.example.com";)
��ʾ����� ACI ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ� Social Committee ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰�����顱���ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�ж�ȡ���������ӵĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=social committee, dc=example,dc=com ����
- �ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
- Ҫ�����������Աֻ��������������Ŀ�Ļ���ֵ�Ĺ�������ͨ����ֶ��༭����ť�л����ֶ��༭��������������ӵ� LDIF ���Ŀ�ʼ��
(targattrfilters="add=objectClass:(objectClass=groupOfNames)
|(objectClass=top)")LDIF ������ʽӦ�����£�
(targetattr = "*") (targattrfilters="add=objectClass:(objectClass=groupOfNames)
|(objectClass=top)") (target="ldap:///ou=social committee,dc=example,dc=com) (version 3.0; acl "Create Group";
allow (read,search,add) (userdn= "ldap:///all") and
(dns="*.example.com"); )- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
ACI ��ɾ���顱
�� LDIF �У�Ҫ���� example.com ��Ա�� ou=Social Committee ��֧���Ļ�ɾ��������ӵ�е�����Ŀ��Ȩ�ޣ�����д��������䣺
aci: (target="ou=social committee,dc=example,dc=com)
(targetattr = "*")
(targattrfilters="del=objectClass:(objectClass=groupOfNames)")
(version 3.0; acl "Delete Group"; allow (write,delete)
userattr="owner#GROUPDN";)��ʾ����� aci ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��
ʹ�ÿ���̨���Ǵ����� ACI ����Ч��ʽ����Ϊ����ʹ���ֶ��༭ģʽ����Ŀ��������Լ�����������Ȩ��
���������ɫ���������Ȩ
���������£���������ɫ��Ŀ¼����Ȩ����ʱ����ϣ��ȷ����ֹ��Щ��Ȩ����ͼ��ð����Ȩ�û��������ߵ��á���ˣ����������£���������ɫ�ؼ����Ȩ�ķ��ʿ��ƹ���ͨ������������j��
���磬example.com �Ѿ�Ϊ���йܵ�ÿ��˾��Company333 �� Company999������ Directory Administrator ��ɫ����ϣ����Щ��˾�ܹ��������Լ�����ݣ���ʵ���Լ��ķ��ʿ��ƹ���ͬʱ��ֹ�����ߡ���ˣ�Company333 �� Company999 ���ж�Ŀ¼�������Ǹ��Եķ�֧����ȫ����Ȩ�ޣ�ǰ�����������������
��Щ�����ÿ��˾�ĵ��� ACI��ACI "Company333"�� ACI "Company999"������ʾ��������Щ ACI ��������ͬ�������ʾ��ֻ˵���� "Company333"��
ACI "Company333"
�� LDIF �У�Ҫ��������������� Company333 ��Ŀ¼�����Ǹ��Եķ�֧����ȫ����Ȩ������д��������䣺
aci: (target="ou=Company333,ou=corporate-clients,dc=example,dc=com")
(targetattr = "*") (version 3.0; acl "Company333"; allow (all)
(roledn="ldap:///cn=DirectoryAdmin,ou=Company333,
ou=corporate-clients,dc=example,dc=com") and (authmethod="ssl")
and (dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and
timeofday <= "1800") and (ip="255.255.123.234"); )��ʾ����� ACI ����ӵ� ou=Company333, ou=corporate-clients,dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ� Company333 ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����� "Company333"���ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�����ȫ��ѡ�С���ť��
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=Company333,ou=corporate-clients,dc=example,dc=com ����
- �ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� IP ��ַ���������ֶΣ����� 255.255.123.234������ȷ�������رնԻ���
IP ��ַ������������Ч IP ��ַ��Company333 ����Ա����4l�ӵ� example.com Ŀ¼��
- �ڡ�ʱ�䡱ѡ��ϣ�ѡ���Ӧ������һ�������ģ��Լ����� 8 �㵽���� 6 ���ʱ��顣
���·�����ʾһ����Ϣ��ָ����ѡ���ʱ��顣
- Ҫǿ�ƴ� Company333 ����Ա���� SSL ��֤����ͨ����ֶ��༭����ť4�л����ֶ��༭��������������ӵ� LDIF ����ĩβ��
and (authmethod="ssl")
LDIF ���Ӧ�����ڣ�
aci: (targetattr = "*")(target="ou=Company333,
ou=corporate-clients,dc=example,dc=com") (version 3.0; acl
"Company333"; allow (all) (roledn="ldap:///cn=DirectoryAdmin,
ou=Company333,ou=corporate-clients, dc=example,dc=com") and
(dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and
timeofday <= "1800") and (ip="255.255.123.234") and
(authmethod="ssl"); )- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
�ܾ����
���Ŀ¼�����˶�ҵ��ؼ����Ϣ��������ر�ϣ��ܾ����ķ��ʡ�
���磬example.com ϣ�������û����ܹ���ȡ�����Լ�����Ŀ�µ�����l��ʱ����ʻ����֮��ļ�����Ϣ������ȷϣ��ܾ�Ը���Ϣ��д����ʡ��ⲿ�ֱַ��� ACI ��������Ϣ��ȡ���� ACI ��������Ϣ�ܾ��н���˵��
ACI ��������Ϣ��ȡ��
�� LDIF �У�Ҫ�����û���ȡ�����Լ�����Ŀ�м�����Ϣ��Ȩ�ޣ�����д��������䣺
aci: (targetattr="connectionTime || accountBalance")
(version 3.0; acl "Billing Info Read"; allow (search,read)
userdn="ldap:///self";)��ʾ������Ѿ��ڼܹ��д�����ص����ԣ����� ACI ����ӵ� ou=subscribers,dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰������Ϣ��ȡ�����ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ������Ͷ�ȡȨ�ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=subscribers, dc=example,dc=com ���������Ա��У�ѡ�� connectionTime �� accountBalance ���Եĸ�ѡ��
��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ����ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�
��ʾ��������Ѿ��� connectionTime �� accountBalance ������ӵ��ܹ���
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
ACI ��������Ϣ�ܾ�
�� LDIF �У�Ҫ�ܾ��û��������Լ�����Ŀ�м�����Ϣ��Ȩ�ޣ�����д��������䣺
aci: (targetattr="connectionTime || accountBalance")
(version 3.0; acl "Billing Info Deny";
deny (write) userdn="ldap:///self";)��ʾ������Ѿ��ڼܹ��д�����ص����ԣ����� ACI ����ӵ� ou=subscribers,dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰������Ϣ�ܾ��ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�ĸ�ѡ��ȷ������ѡ�����
- �����ֶ��༭����ť������ʾ�� LDIF ����У��� allow ���Ϊ deny��
- �ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=subscribers, dc=example,dc=com ���������Ա��У�ѡ�� connectionTime �� accountBalance ���Եĸ�ѡ��
��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ����ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�
��ʾ��������Ѿ��� connectionTime �� accountBalance ������ӵ��ܹ���
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
ʹ�ù���������Ŀ��
���ϣ�����÷��ʿ��ƣ�����Է�ɢ��Ŀ¼�е������Ŀ���з��ʣ������ϣ��ʹ�ù���������Ŀ�ꡣ���ס���������������ֱ��ָ��Ҫ��������ʵĶ���������������������ܾ�Դ������ķ��ʣ��ر�����Ŀ¼��ñȽϸ���ʱ�����⣬��������ܻ�ʹ���Ŀ¼�ڵķ��ʿ��������ñȽ�'�ѡ�
�����û���������ӻ�ɾ��������
���Ŀ¼���� ACI�������û���������ӻ�ɾ���������?���磬����������û����ʼ��б���Ӻ�ɾ���������������õġ�
�� example.com����Ա���Խ������Լ���ӵ� ou=social committee �����µ��κ�����Ŀ���ⲿ���� ACI �����Ա��ʾ���н���˵��
ACI �����Ա��
�� LDIF �У�Ҫ���� example.com ��Ա��һ��������ӻ�ɾ�������Լ���Ȩ�ޣ�����д��������䣺
aci: (targettattr="member")(version 3.0; acl "Group Members";
allow (selfwrite)
(userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") ;)��ʾ����� ACI ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��
����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�
- �ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������� example.com �ڵ��µ� People ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
- �����½�������ʾ�����ʿ��Ʊ༭���
- �ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰���Ա�����ڱ��������Ȩ���û��б��У�ִ�����²���
- �ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ������д��ĸ�ѡ��ȷ������ѡ�����
- �ڡ�Ŀ�ꡱѡ��ϣ���Ŀ��Ŀ¼��Ŀ���ֶ��м��� dc=example,dc=com ���������Ա��У�ѡ�� member ���Եĸ�ѡ��
��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ����ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�
- ����ȷ������
�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�
Ϊ��ŵ� DN ����Ȩ��
��ŵ� DN ��Ҫ�� LDIF ACI ����н�������?�� ACI ����Ŀ��Ͱ��֣����ű���Ҫ�õ���б�� (\) ����ת�塣�����ʾ��˵���˴����
dn: o=example.com Bolivia\, S.A.
objectClass: top
objectClass: organization
aci: (target="ldap:///o=example.com Bolivia\,S.A.")
(targetattr="*") (version 3.0; acl "aci 2"; allow (all)
groupdn = "ldap:///cn=Directory Administrators,
o=example.com Bolivia\, S.A.";)������Ȩ ACI ʾ��
������Ȩ��������֤��һ��������ʽ��ʹ�����Լ�����ݰ�Ŀ¼���û�ͨ�������Ȩ��������һ���û���Ȩ�ޡ�
���ڴ�ʾ����裺
Ϊ��ʹ�ͻ���Ӧ�ó����ö� Accounting ����ķ���Ȩ��ʹ���� Accounting Administrator ��ͬ�ķ���Ȩ�ޣ���
- Accounting Administrator ������ж� ou=Accounting,dc=example,dc=com ����ķ���Ȩ�ޡ����磬����� ACI ������Ȩ������ Accounting Administrator ��Ŀ��
aci: (target="ldap:///ou=Accounting,dc=example,dc=com")
(targetattr="*") (version 3.0; acl "allowAll-AcctAdmin"; allow
(all) userdn="ldap:///dn:uid=AcctAdministrator,ou=Administrators,
dc=example,dc=com";)- Ŀ¼�б���������� ACI ��ͻ���Ӧ�ó����������Ȩ�ޣ�
aci: (target="ldap:///ou=Accounting,dc=example,dc=com")
(targetattr="*") (version 3.0; acl "allowproxy-
accountingsoftware"; allow (proxy) userdn=
"ldap:///dn:uid=MoneyWizAcctSoftware,ou=Applications,
dc=example,dc=com";)���˴� ACI��MoneyWizAcctSoftware �ͻ���Ӧ�ó������Ŀ¼��������Ҫ���� DN ����Ȩ�� LDAP ������� ldapsearch �� ldapmodify��
������ʾ���У����ͻ���ϣ��ִ�� ldapsearch ����������(���п��ƣ�
ldapsearch \
-D "uid=MoneyWizAcctSoftware,ou=Applications,dc=example,dc=com"\
-w password\
-y "uid=AcctAdministrator,ou=Administrators,dc=example,dc=com"\ ...��ע�⣬�ͻ�����Ϊ��������������������Ŀ��Ȩ�ޡ��ͻ�����Ҫ������Ŀ�Ŀ��
ע
����ʹ��Ŀ¼����Ա�� DN ��Ϊ���� DN��Ҳ���ܽ�����Ȩ������Ŀ¼����Ա�����⣬��� Directory Server ��ͬһ�����н��ն�������֤���ƣ������ͻ���Ӧ�ó���һ�������ʧ�ܡ�
�鿴��ЧȨ��ά��Ŀ¼����Ŀ�ķ��ʲ���ʱ������˽�������� ACI ��ȫ�ԵĽ��dz����á�Directory Server ʹ������9����е� ACI������������Ϊ���û��������Ը���Ŀ����ЧȨ�ޡ�
Directory Server ����Ӧ���ܰ�(����������еġ������ЧȨ�ޡ����ơ��Դ˿��Ƶ���Ӧ�����������з����й���Ŀ�����Ե���ЧȨ����Ϣ���˶�����Ϣ��(ÿ����Ŀ�Լ�ÿ����Ŀ�е�ÿ�����ԵĶ�ȡ��д��Ȩ�ޡ���������İ� DN ������ DN������Ҫ����ЩȨ�ޣ��������Ա����Ŀ¼�û���Ȩ�ޡ�
����
�鿴��ЧȨ�ޱ���Ӧ�����ܱ���������Ӧ���Ƶ�Ŀ¼����Ϊ aclRights �� aclRightsInfo ���Դ�����һ���� ACI ������Ŀ¼�û��Դ���Ϣ�ķ��ʡ�
��Ч��Ȩ������5�� LDAP ���ơ�Ҫ�鿴t�Ӻ��ϵ���ЧȨ�ޣ�������t�Ӳ��������ô˿��ƣ���������t�Ӳ��ԡ������������ȷ�����ڰ�Զ�̷�����Ĵ������Ҳ�����������ЧȨ�����ԡ�
ʹ�û����ЧȨ����
ͨ��ʹ�ô��� -J "1.3.6.1.4.1.42.2.27.9.5.2" ѡ��� ldapsearch ����4ָ���������ЧȨ�ޡ����ơ�Ĭ������£��ÿ��ƽ����������з�����Ŀ�������ϰ� DN ��Ŀ����ЧȨ�ޡ�ʹ�������ѡ����Ĭ����Ϊ��
ʹ�� -c �� -X �����е�ijһ���}��ʱ�������˾��С������ЧȨ�ޡ����� OID �� -J ѡ���˲���ָ�������Ϊ��ЧȨ����ָ���˿�ֵ�������ǰ�û�Ȩ���浱ǰ ldapsearch ����ص����Ժ���Ŀ��Ȩ�ޡ�
Ȼ�����ѡ��ϣ��鿴����Ϣ���ͣ���Ȩ�ޣ����ǽ�����������ܾ���ЩȨ�ıȽ���ϸ�ļ�¼��Ϣ����Ϣ��������ͨ��ֱ���� aclRights �� aclRightsInfo 4ȷ���ģ���ΪҪ���������з��ص����ԡ���������}�����Խ���ȫ������ЧȨ����Ϣ�����ܼ�Ȩ������ϸ��־��¼��Ϣ�е���Ϣ�Ƕ���ġ�
ע
aclRights �� aclRightsInfo ���Ծ�������������Ե���Ϊ�����Dz��洢��Ŀ¼�У���˳����ȷ�������ǽ������ء���Щ�������� Directory Server ��Ӧ�������ЧȨ�ޡ�������ɵġ�
��ˣ���Щ������û�����Կ������κ����͵Ĺ��������������С�
��ЧȨ���ܴ������������û��̳�Ӱ����ʿ��Ƶ����������һ���е�ȷ��ʱ�䡢��֤������������ַ����ƣ���
�����ʾ����ʾ���û���ο��Բ鿴����Ŀ¼�е�Ȩ�ޡ��ڽ���У�1 ��ʾ������Ȩ�ޣ�0 ��ʾ�ܾ���Ȩ�ޣ�
ldapsearch -J "1.3.6.1.4.1.42.2.27.9.5.2" \
-h rousseau.example.com -p 389 \
-D "uid=cfuente,ou=People,dc=example,dc=com" \
-w password -b "dc=example,dc=com" \
"(objectclass=*)" aclRightsdn: dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: ou=Groups, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: cn=Accounting Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: cn=HR Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: uid=bjensen,ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: uid=cfuente, ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:1,proxy:0�˽���� Carla Fuente ��ʾ��Ŀ¼�е���Ŀ���ڴˣ������پ��ж�ȡȨ�ޣ����ҿ��������Լ�����Ŀ����ЧȨ���Ʋ��ܱܿ���ķ���Ȩ�ޣ�����û�������������û�ж�ȡȨ����Ŀ���������ʾ���У�Ŀ¼����Ա���Կ��� Carla Fuente û�ж�ȡȨ����Ŀ��
ldapsearch -h rousseau.example.com -p 389 \
-D "cn=Directory Manager" -w password \
-c "dn: uid=cfuente,ou=People,dc=example,dc=com" \
-b "dc=example,dc=com" \
"(objectclass=*)" aclRightsdn: dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: ou=Groups, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: cn=Directory Administrators, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:0,write:0,proxy:0dn: ou=Special Users,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:0,write:0,proxy:0dn: ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: cn=Accounting Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: cn=HR Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: uid=bjensen,ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0dn: uid=cfuente, ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:1,proxy:0�����������У�Ŀ¼����Ա���Կ��� Carla Fuente ���v����ܲ鿴��Ŀ¼���������û���Ŀ¼����Ա��֧���������ʾ���У�Ŀ¼����Ա���Կ��� Carla Fuente ��������������Ŀ�е� mail �� manager ���ԣ�
ldapsearch -h rousseau.example.com -p 389 \
-D "cn=Directory Manager" -w password \
-c "dn: uid=cfuente,ou=People,dc=example,dc=com" \
-b "dc=example,dc=com" \
"(uid=cfuente)" aclRights "*"version: 1
dn: uid=cfuente, ou=People, dc=example,dc=comaclRights;attributeLevel;mail: search:1,read:1,compare:1,
write:0,selfwrite_add:0,selfwrite_delete:0,proxy:0
mail: cfuente@example.comaclRights;attributeLevel;uid: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
uid: cfuenteaclRights;attributeLevel;givenName: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
givenName: CarlaaclRights;attributeLevel;sn: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
sn: FuenteaclRights;attributeLevel;cn: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
cn: Carla FuenteaclRights;attributeLevel;userPassword: search:0,read:0,
compare:0,write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
userPassword: {SSHA}wnbWHIq2HPiY/5ECwe6MWBGx2KMiZ8JmjF80Ow==aclRights;attributeLevel;manager: search:1,read:1,compare:1,
write:0,selfwrite_add:0,selfwrite_delete:0,proxy:0
manager: uid=bjensen,ou=People,dc=example,dc=comaclRights;attributeLevel;telephoneNumber: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
telephoneNumber: (234) 555-7898aclRights;attributeLevel;objectClass: search:1,read:1,compare:1,
write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetorgpersonaclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0
�˽���ЧȨ���
���ָ����ѡ��IJ�ͬ����ЧȨ��������������Ϣ��
Ȩ����Ϣ
��ЧȨ����Ϣ���������������ṩ��
aclRights;entrylevel
�ṩ��Ŀ��Ȩ����Ϣ
aclRights;attributelevel
�ṩ���Լ�Ȩ����Ϣ
aclRightsInfo;entrylevel
�ṩ��Ŀ����־��¼��Ϣ
aclRightsInfo;attributelevel
�ṩ���Լ���־��¼��Ϣ
aclRights �ַ�ĸ�ʽΪ��permission:value(permission:value)*
���ܵ���Ŀ��Ȩ�ް�( add��delete��read��write �� proxy�����ܵ����Լ�Ȩ�ް�( read��search��compare��write��selfwrite_add��selfwrite_delete �� proxy��
��ЩȨ��ֵ����������֮һ��
Write��Selfwrite_add �� Selfwrite_delete Ȩ��
�� Directory Server 5.2 �У�ֻ��д�����Լ�Ȩ��ֵ����Ϊ "?"��������Ӻ�ɾ��Ȩ�ޣ��������Ӻ�ɾ�����Ŀȡ������Ŀ�����Ե�ֵ������Ŀ�� ldapsearch �����ʱ�����������Щ��Ŀ����Ȩ��ֵ��0 �� 1�������Ƿ��� "?"��
��� write Ȩ��ֵΪ 1����������Ӻ�ɾ������ֵ����Ȩ dn ֵ���⣩�� ldapmodify �����Ȩ�ޡ���� write Ȩ��ֵΪ 0����������ӻ�ɾ���κ�ֵ����Ȩ dn ֵ���⣩�� ldapmodify �����Ȩ�ޡ���Ȩ dn ��ֵ��Ȩ����ʽ���� selfwrite Ȩ��֮һ���أ��� selfwrite_add �� selfwrite_delete��
����selfwrite-add �� selfwrite-delete ���Լ�Ȩ���� ACI �����в����ڣ���һ�� ACI ���Խ� selfwrite Ȩ�������û�����ֻ�����IJ�������Ȩ��ɾ��Ȩ�ޡ����� selfwrite Ȩ�ޣ������ĵ�����ֵ������Ȩ dn������ write Ȩ�Ͳ��߱���һ������Ϊд��Ȩ�������ĵ�����ֵ��δ����ġ�
���˵��ЧȨ��ȡ���� targattrfilters ACI����"?"ֵ�ͱ���Ӧ�ò�����־��¼��Ϣ���˽����Ȩ����ϸ��Ϣ����� write��selfwrite_add �� selfwrite_delete Ȩ��֮������5���������Ը����ԣ��� 6-3 �����������Ȩ�����γɵĿ��ܵ���Ϻ��塣
��־��¼��Ϣ
��ЧȨ����־��¼��Ϣʹ������˽Ⲣ���Է��ʿ���'�ѡ���־��¼��Ϣ�а���ʿ��Ƶ�ժҪ��Ϣ����Ϊ acl_summary�������ָ�������ܾ���ʿ��Ƶ�ԭ���ʿ���ժҪ��Ϣ��(�������ݣ�
- ���?�Ǿܾ����
- �����Ȩ��
- Ȩ��Ŀ����Ŀ
- Ŀ�����Ե����
- �����Ȩ������
- �����Ƿ��ɴ��?������ǣ���ָ��������֤ DN
- �����ܾ���ʵ�ԭ���ڽ��е��Էdz���Ҫ������ 6-4 ���г��˿��ܵ�ԭ��
�йؾ�ȷ����־�ļ���ʽ������� Directory Server Administration Reference��
�����ʿ��ƣ�ʹ�ú� ACI��ʹ���ظ�Ŀ¼��ṹ����֯�У�����ͨ��ʹ�ú�4�Ż�Ŀ¼��ʹ�õ� ACI ����������Ŀ¼���� ACI ����ʹ�ù�����ʿ��Ʋ��Ը����ɣ����ҿ������ ACI �ڴ�ʹ�õ�Ч�ʡ�
�������ڱ�ʾ ACI �е� DN �� DN ��һ���ֵ�ռλ�����ʹ�ú�4��� ACI Ŀ�겿�֡����ֻ�}���е� DN��ʵ���ϣ��� Directory Server ��ȡһ���� LDAP ����ʱ��ACI ���� LDAP ������ΪĿ�����Դ����ƥ�䣬��ȷ��ƥ������ַ�����У������ƥ�䣬��ʹ��ƥ������ַ�)չ����˵ĺ꣬��ͨ���9���)չ�İ���4ȷ������Դ�ķ���Ȩ�ޡ�
�� ACI ʾ��
ʹ��ʾ����Ը�õؽ���� ACI ���ŵ��Լ�����ʽ��ͼ 6-4 ��ʾ��һ��Ŀ¼������ʹ�ú� ACI �Ǽ��� ACI �������Ч��ʽ��
�ڴ˲�ͼ�У���ע�������ͬ��ṹ (ou=groups,ou=people) ��������ظ�ģʽ����ģʽ����������ظ�����Ϊ example.com Ŀ¼��洢�����к� dc=hostedCompany2,dc=example,dc=com �� dc=hostedCompany3,dc=example,dc=com��
��Ŀ¼����Ӧ�õ� ACI Ҳ�����ظ�ģʽ�����磬����� ACI λ�� dc=hostedCompany1,dc=example,dc=com �ڵ㣺
aci: (targetattr="*")
(targetfilter=(objectClass=nsManagedDomain))(version 3.0;
acl "Domain access"; allow (read,search) groupdn=
"ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany1,
dc=example,dc=com";)�� ACI �� DomainAdmins ������� dc=hostedCompany1,dc=example,dc=com ���е��κ���Ŀ�Ķ�ȡ������Ȩ�ޡ�
ͼ 6-4 �� ACI ��ʾ��Ŀ¼��
����� ACI λ�� dc=hostedCompany1,dc=example,dc=com �ڵ㣺
aci: (targetattr="*")
(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search)
groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany1,
dc=example,dc=com";)����� ACI λ�� dc=subdomain1,dc=hostedCompany1, dc=example,dc=com �ڵ㣺
aci: (targetattr="*")
(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search)
groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=subdomain1,
dc=hostedCompany1,dc=example,dc=com";)����� ACI λ�� dc=hostedCompany2,dc=example,dc=com �ڵ��£�
aci: (targetattr="*")
(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search)
groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany2,
dc=example,dc=com";)����� ACI λ�� dc=subdomain1,dc=hostedCompany2, dc=example,dc=com �ڵ㣺
aci: (targetattr="*")
(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search)
groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,
dc=hostedCompany2,dc=example,dc=com";)��������ʾ���ĸ� ACI �У�Ψһ����� groupdn �ؼ�����ָ���� DN��ͨ��Ϊ DN ʹ�ú꣬���������� dc=example,dc=com �ڵ����õ��� ACI �滻��Щ ACI���� ACI ����ʽ���£�
aci: (target="ldap:///ou=Groups,($dn),dc=example,dc=com")
(targetattr="*")(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search) groupdn=
"ldap:///cn=DomainAdmins,ou=Groups,[$dn],dc=example,dc=com"; )��ע�⣬��Ҫ������ǰû��ʹ�õ� target �ؼ��֡�
�������ʾ���У�ACI �������ĸ��һ��Ȼ��������ŵ�������Ŀ¼����ж����ظ�ģʽ�����ء�
�� ACI �
Ϊ�˼����е����ۣ������ṩ���� userdn��roledn��groupdn �� userattr ��ƾ֤�� ACI �ؼ���ͳ��Ϊ ACI ������������ȷ�� ACI Ӧ�õĶ���
�� ACI ��(�������͵ı��ʽ���滻 DN �� DN ��һ���֣�
�� 6-5 ��ʾ���� ACI ����Щ���ֿ���ʹ�� DN �꣺
������������ã�
ƥ��Ŀ���е� ($dn)
ACI ��Ŀ���е� ($dn) ��ͨ���� LDAP �����Ŀ����Ŀ��Ƚ�4ȷ���滻ֵ�����磬�����Ŀ��Ϊ cn=all,ou=groups,dc=subdomain1, dc=hostedCompany1,dc=example,dc=com ��Ŀ�� LDAP ������Ŀ��� ACI ������ʾ��
(target="ldap:///ou=Groups,($dn),dc=example,dc=com")
($dn) ���� dc=subdomain1, dc=hostedCompany1ƥ�䡣Ȼ�����ʹ�ô����ַ����� ACI ������滻ֵ��
�滻�����е� ($dn)
�� ACI �����У�($dn) �걻Ŀ����ƥ���ȫ�����ַ����滻�����磺
groupdn="ldap:///cn=DomainAdmins,ou=Groups,($dn),
dc=example,dc=com"����
groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=subdomain1,
dc=hostedCompany1,dc=example,dc=com"��)չ��Directory Server ��ѭ��Ĺ���9� ACI ��ȷ���Ƿ��������Ȩ�ޡ�
ע
��� ACI ��ͬ��ʹ�ú��滻�� ACI ��һ���б�Ҫ�����Ŀ����Ŀ������Ŀ�ķ���Ȩ�ޡ�ԭ���ǵ�����Ŀ�� DN ��Ŀ��ʱ���滻���ܲ����������ַ��д���һ����Ч DN��
�滻�����е� [$dn]
[$dn] ���滻������ ($dn) ���滻��������Щ��ͬ����μ��Ŀ����Դ�� DN��ÿ�ζ���������ߵ� RDN �����ֱ���ҵ�ƥ��Ϊֹ��
���磬��Ŀ��Ϊ cn=all,ou=groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com ����� LDAP �����Լ����� ACI��
aci: (targetattr="*")
(target="ldap:///ou=Groups,($dn),dc=example,dc=com")
(version 3.0; acl "Domain access"; allow (read,search)
groupdn="ldap:///cn=DomainAdmins,ou=Groups,[$dn],
dc=example,dc=com";)������������²�����в�����)չ�� ACI��
- Ŀ���е� ($dn) ƥ�� dc=subdomain1,dc=hostedCompany1��
- �������е� [$dn] �滻Ϊ dc=subdomain1,dc=hostedCompany1��
��������� groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com"��������ڰ� DN �Ǹ���ij�Ա���������Ȩ�����)չֹͣ�����9� ACI������dz�Ա����ù�̼���
- �������е� [$dn] �滻Ϊ dc=hostedCompany1��
��������� groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=hostedCompany1,dc=example,dc=com"����Ҫ���� DN �Ƿ�ΪС���Ա������ǣ�ACI ������ȫ�9!�����dz�Ա����)չ����ƥ��ֵ�����һ�� RDN ��ֹͣ���Ҵ� ACI ���9�Ҳ����ֹ��
[$dn] ����ŵ��������ṩ��һ����ʽ����������Ĺ���Ա�����Ŀ¼������������ķ���Ȩ�ޡ���ˣ����ڱ����֮��IJ����ϵʮ�����á�
���磬�뿼������ ACI��
aci: (target="ldap:///ou=*,($dn),dc=example,dc=com")
(targetattr="*")(targetfilter=(objectClass=nsManagedDomain))
(version 3.0; acl "Domain access"; allow (read,search) groupdn=
"ldap:///cn=DomainAdmins,ou=Groups,[$dn],dc=example,dc=com";)������ cn=DomainAdmins,ou=Groups, dc=hostedCompany1,dc=example,dc=com �ij�Ա�� dc=hostedCompany1 ����������ķ���Ȩ��������ڸ���Ĺ���Ա���Է������� ou=people,dc=subdomain1.1,dc=subdomain1��
��ͬʱ��cn=DomainAdmins,ou=Groups, dc=subdomain1.1 �ij�Ա�����ܾ���� ou=people,dc=subdomain1, dc=hostedCompany1 �� ou=people,dc=hostedCompany1 �ڵ㡣
($attr.attrName) �ĺ�ƥ��
($attr.attrname) ��ʼ������ DN �����ⲿ�֡����磬���Զ������� roledn��
roledn = "ldap:///cn=DomainAdmins,($attr.ou),dc=HostedCompany1,
dc=example,dc=com"���ڣ���������������������ĿΪĿ��� LDAP ����
dn: cn=Babs Jensen,ou=People,dc=HostedCompany1,dc=example,dc=com
cn: Babs Jensen
sn: Jensen
ou: Sales
...Ϊ���9� ACI �� roledn ���֣��������ȡ�洢��Ŀ����Ŀ�е� ou ���Ե�ֵ�������������滻��ֵ��)չ�ꡣ�ڸ�ʾ���У�roledn �����·�ʽ)չ��
roledn = "ldap:///cn=DomainAdmins,ou=Sales,dc=HostedCompany1,
dc=example,dc=com"Ȼ�� Directory Server ������ ACI �9��㷨�� ACI �����9!�
���ں�������������Ƕ�ֵʱ��ÿ��ֵ������)չ�꣬��ʹ���ṩ�ɹ�ƥ��ĵ�һ��ֵ��
���ʿ��ƺ���ACI ����Ϊ��Ŀ�����Դ洢�ģ���ˣ����� ACI ����Ŀ���Ѹ��ƺ�����ɲ��֣��� ACI �����κ��������������ơ�
ACI ʼ������Ϊ���� LDAP �����ṩ�����Ŀ¼�������Ͻ����95ġ�����ζ�ţ���ʹ���߷�������յ���������ʱ����صĽ�������������������������Ƿ���Դ��������
���ʿ��ƺ�t�����Ŀ¼��ʹ��t�ӹ��ֲܷ��ڶ��������ϣ�������ڷ��ʿ��������ʹ�õĹؼ��ֻ���ijЩ���ƣ��й���ϸ��Ϣ�������ACI �����ơ���
������֤���û�����t�Ӻ�ʱ��������Ὣ���û�����ݷ��͵�Զ�̷�������ʿ���ʼ����Զ�̷������Ͻ����9!���Զ�̷��������95�ÿ�� LDAP ����ʹ�ÿͻ���Ӧ�ó���ͨ���Ѵ������Ȩ�ؼ����д��ݣ���ԭʼ��ݡ�ֻ�е��û���Զ�̷������ϰ�����������ȷ�ķ��ʿ���ʱ�����������Զ�̷������ϻ�óɹ������ʾ��Ҫ��Զ�̷�������ӽ����������Ƶij�����ʿ��ơ��й���ϸ��Ϣ���������ͨ����t�ӵĺ����еķ��ʿ��ơ���
��¼���ʿ�����ϢҪ��ô�����־���йط��ʿ��Ƶ���Ϣ�����������ʵ�����־�ȼ���
Ҫ�ӿ���̨���ô�����־�ȼ�����ִ�����²���
- �� Directory Server Console �Ķ�����Ŀ¼��ѡ��У��Ҽ�� cn=config �ڵ㣬Ȼ��ӵ���˵���ѡ����ͨ�ñ༭����б༭����
��ʾ��ͨ�ñ༭���о��� cn=config ��Ŀ�����ݡ�
- ���¹�����ֵ�Ե��б?�ҵ� nsslapd-errorlog-level ���ԡ�
- �� nsslapd-errorlog-level �ֶ�������ʾ��ֵ���� 128��
���磬�����ʾ��ֵ�� 8192�����Ƶ��ԣ�����Ӧ�ý�����Ϊ 8320���йش�����־�ȼ���������Ϣ������� ��Directory Server Administration Reference����
- ����ȷ���������ģ����ر�ͨ�ñ༭��
�����ڰ汾�ļ�����Directory Server ���ڰ汾��ʹ�õ�ijЩ ACI �ؼ����� Directory Server 5.2 ���Ѳ���ʹ�á����ǣ�Ϊ��ʵ���������ԣ���Щ�ؼ�������֧�֡���Щ�ؼ��ְ�(��
��ˣ�����ھɰ湩Ӧ�̷������ʹ���� Directory Server 5.2 ֮�������˸���Э�飬�Ͳ�Ӧ���ڸ��� ACI ʱ���κ����⡣
�������ǽ�����ʹ�� userattr �ؼ��ֵĹ����滻��Щ�ؼ��֣���������ֵƥ��4������ʡ�������