��һ��      Ŀ¼      ����      ��һ��
Sun Java(TM) System Directory Server 5 2004Q2 ����ָ��

�� 6 ��
������ʿ���

��Ŀ¼���ݵķ��ʿ����Ǵ�����ȫĿ¼��һ��ɻ�ȱ����ɲ��֡����½����˷��ʿ���ָ�� (ACI)����Щָ������ȷ�������Ŀ¼���û�������ЩȨ�ޡ�Directory Server ���в鿴���û��Ը���Ŀӵ�е���ЧȨ�޵Ĺ��ܡ��ù��ܼ��˸��Ӷ���ǿ��ķ��ʿ��ƻ��ƵĹ��?

��Ŀ¼����Ĺ滮�׶Σ���Ӧ������һ�ַ��ʿ��Ʋ��ԣ���4���������尲ȫ���ԡ��йع滮���ʿ��Ʋ��Ե���ʾ������ġ�Directory Server Deployment Planning Guide��Chapter 7 �е� "Designing Access Control"��

���°�(�������⣺

���ʿ��Ƶ�ԭ��
Ĭ�� ACI
ACI �﷨
�󶨹���
��������� ACI
ʹ�ÿ���̨���� ACI
���ʿ����÷�ʾ��
�鿴��ЧȨ��
�߼����ʿ��ƣ�ʹ�ú� ACI
���ʿ��ƺ͸���
��¼���ʿ�����Ϣ
�����ڰ汾�ļ�����

---

���ʿ��Ƶ�ԭ��

���ڶ�����ʵĻ��ƽ������ʿ���������������յ�һ������ʱ����ʹ���û��ڰ󶨲������ṩ����֤��Ϣ���Լ��������ж���ķ��ʿ���ָ�� (ACI) 4ȷ���Ƿ����������Ŀ¼��Ϣ����������������ܾ������ȡ��д�롢�����Ƚ�֮���Ȩ�ޡ������û���Ȩ�޼������ȡ�������ṩ����֤��Ϣ��

ͨ��ʹ�÷��ʿ��ƣ�����Կ��ƶ����Ŀ¼��Ŀ¼������Ŀ¼�е��ض���Ŀ����(���������������Ŀ�����ض�����Ŀ���Լ����ض�����Ŀ����ֵ�ķ��ʡ�����Ϊ�ض��û��������ض�����ɫ�������û���Ŀ¼�������û�����Ȩ�ޡ���󣬿���Ϊ���� IP ��ַ�� DNS ��Ʊ�ʶ���ض��ͻ�������ʡ�

ACI �ṹ

���ʿ���ָ����Ϊ��Ŀ�����Դ洢��Ŀ¼�С�aci �����Dz������ԣ��������Ŀ¼�е�ÿһ����Ŀ��������Ƿ��������Ŀ�Ķ����ඨ��ġ��� Directory Server ���յ�4�Կͻ���� LDAP ����ʱ����ʹ�ø�����4�ж�Ӧ�����ܾ���ЩȨ�ޡ��������ȷ��Ҫ��aci ���Խ��� ldapsearch �����б����ء�

ACI ���������Ҫ�����ǣ�

Ŀ�ꡪȷ��ҪӦ��Ȩ�޵���Ŀ�����ԡ�
Ȩ�ޡ����屻����򱻾ܾ�IJ���
�󶨹��򡪸���û��İ� DN ȷ������ ACI ���û���

ACI ��Ȩ�޺Ͱ󶨹��򲿷ֱ�����Ϊһ�ԣ�Ҳ����Ϊ���ʿ��ƹ��� (ACR)�������ڷ���Ŀ���ָ��Ȩ�������軹�Ǿܾ���ȡ������Ӧ�Ĺ����9��Ƿ�Ϊ true���й���ϸ��Ϣ������� ��ACI �﷨����

ACI �

���� ACI ����Ŀû���κ�����Ŀ����ô ACI ��ֻӦ���ڸ���Ŀ��������Ŀ��������Ŀ����ô ACI ��Ӧ���ڸ���Ŀ�����Լ��������������Ŀ����ˣ����������9���Ŀ�ķ���Ȩ��ʱ�������֤��������Ŀ�͸���Ŀ���׺��֮���ÿһ����Ŀ�� ACI��

aci �����Ƕ�ֵ�ģ�����ζ�ſ���Ϊͬһ��Ŀ���������� ACI��

���������Ŀ�ϴ���һ�� ACI��ʹ֮��ֱ��Ӧ���ڸ���Ŀ������Ӧ�����������еIJ��ֻ�ȫ����Ŀ����������ŵ��ǣ��������Ŀ¼���еĽϸ߼����Ϸ���һ��ͨ�� ACI���Ա���Ч��Ӧ���ڿ���λ�������²�λ���ϵ���Ŀ�����磬�� organizationalUnit ��Ŀ�� locality ��Ŀ�ļ����ϣ�����Ϊ��( inetorgperson ���������Ŀ����һ�� ACI��

ͨ��ʹ�ô˹����ڸ߼����֧���Ϸ���ͨ�ù��򣬿��Լ���Ŀ¼���е� ACI �������ڸ�Ϊ����Ĺ���Ӧ�þ����ܽ����Ƿ����ڿ���Ҷ��Ŀ��λ���ϣ��Ա��޶���������

ע	�����ڸ� DSE ��Ŀ���� DN Ϊ ""���е� ACI ֻӦ���ڸ���Ŀ��

ACI �9�

Ҫ�96��ض���Ŀ�ķ���Ȩ�ޣ������������Ŀ����� ACI���丸��Ŀ�� ACI��ֱ�x���Ŀ���׺�Ļ�����һ���б?���9��ڼ䣬�������˳���� ACI��ACI �9�������Ŀ������׺��֮������к�׺���Ӻ�׺�н��еģ�����������������t�Ӻ�׺�н��С�

ע	Ŀ¼����Ա��Ψһ�������ڷ��ʿ��Ƶ���Ȩ�û�����ij��ͻ�����Ŀ¼����Ա��ݰ���Ŀ¼ʱ��ִ�в���֮ǰ��������9��κ� ACI�� ��ˣ�Ŀ¼����Ա�� LDAP ����������޷��������û���Ԥ��������ȡ���Ӧ��ʼ���Ե����û���ݼ��Ŀ¼���ܡ�

Ĭ������£����û�� ACI Ӧ�õ���Ŀ�У������Ŀ���ܾ������û��ķ��ʣ�Ŀ¼����Ա���⣩��ACI ����Ϊ�û���ȷ���������Ȩ�ޣ��Ա���ʷ������е�������Ŀ��Ĭ�� ACI ��������Ķ�ȡ����Ȩ�޲������û��޸��Լ�����Ŀ����ȫ�������Գ��⣩���й���ϸ��Ϣ���������Ĭ�� ACI����

��Ȼ����������ȴ����Ŀ����Ŀ���� ACI����Ӧ������Ŀ������ ACI ��Ч�����ۼӵġ����� ACI ����ķ���Ȩ��������ģ������ ACI �ܾ��Ȩ�ޡ����۳������б��е��ĸ�λ�ã��ܾ���ʵ� ACI �����������������ͬ��Դ�� ACI��

���磬�����Ŀ¼�ĸ��ܾ�д��Ȩ�ޣ���ôû��һ���û�����д�뵽��Ŀ¼�������������ǵľ���Ȩ����ʲô��Ϊ��Ŀ¼�����ض��û�д��Ȩ�ޣ���������д��Ȩ�޵�ԭʼ�ܾ�ķ�Χ����ʹ���(���û���

ACI ����

��ΪĿ¼���񴴽�һ����ʿ��Ʋ���ʱ������Ҫע���������ƣ�

���Ŀ¼��ʹ��t�ӹ��ֲܷ��ڶ��������ϣ���ijЩ����Ӧ���ڿ����ڷ��ʿ��������ʹ�õĹؼ��֣�
��5������Ŀ�� ACI��groupdn �ؼ��֣�����λ��������Ŀ��ͬ�ķ������ϡ��������Ƕ�̬�ģ���ô��������г�ԱҲ�������ڷ������Ͼ���һ����Ŀ���������Ǿ�̬�ģ���ô��Ա����Ŀ����λ��Զ�̷������ϡ�
��5�ڽ�ɫ����� ACI��roledn �ؼ��֣�����λ�����ɫ������Ŀ��ͬ�ķ������ϡ��ƻ�ӵ�н�ɫ��ÿһ����ĿҲ������λ����ͬ�ķ������ϡ�

Ȼ����Խ��洢��Ŀ����Ŀ�е�ֵ��洢�ڰ��û�����Ŀ�е�ֵ����ֵƥ�䣨���磬ʹ�� userattr �ؼ��֣�����ʹ���û��ڷ������ϲ����г��и� ACI ����Ŀ��Ҳ������ضԷ��ʽ����9!�

�й����t�ӷ��ʿ����95���ϸ��Ϣ���������ͨ����t�ӵĺ�׺���еķ��ʿ��ơ���

CoS ��ɵ����Բ����������� ACI �ؼ�����ʹ�á�����4˵����Ӧ�ý� CoS ��ɵ������� userattr �� userdnattr �ؼ���һ��ʹ�ã���Ϊ���ʿ��ƹ��򽫲������á��й���ϸ��Ϣ���������ʹ�� userattr �ؼ��֡����й� CoS ����ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ����
���ʿ��ƹ���ʼ�����ڱ��ط������Ͻ����95ġ�һ����Ҫ�� ACI �ؼ�����ʹ�õ� LDAP URL ��ָ���������������˿ںš����������LDAP URL �����ᱻ���Կ��ǡ��й���ϸ��Ϣ������ġ�Directory Server Administration Reference���е� Chapter 6 "LDAP URL Reference"��
���������Ȩ��ʱ����������һ���û���ΪĿ¼����Ա����д����Ȩ�ޣ�Ҳ������Ŀ¼����Ա�������Ȩ�ޡ�

---

Ĭ�� ACI

��װ Directory Server ʱ������Ĭ�� ACI ���������ڼ�ָ���ĸ��׺�ж���ģ�

�����û����ж�Ŀ¼������ȽϺͶ�ȡ������������Ȩ��userpassword ���Գ��⣩��
���û������޸�Ŀ¼�������Լ�����Ŀ��������ɾ�����Dz����޸� aci��nsroledn �� passwordPolicySubentry ���ԣ�Ҳ�����޸��κ���Դ�������ԡ��������״̬���Ի����ʻ���״̬���ԡ�
���ù���Ա��Ĭ������£�uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot�����г����Ȩ��֮�������Ȩ�ޡ�
Configuration Administrators ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�
Directory Administrators ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�
SIE ������г�Ա�����г����Ȩ��֮�������Ȩ�ޡ�SIE ���ǹ���������д�Ŀ¼�ķ�������Ĺ���Ա��

���ۺ�ʱ��Ŀ¼�д����µĸ��׺�������Ŀ�����������г��Ĭ�� ACI�������޸� ACI ���⣩��Ϊ�˻�ö���İ�ȫ�ԣ���Ӧ�ð�����ʹ�ÿ���̨�����µĸ��׺���е�˵����Ӵ� ACI��

���������� NetscapeRoot ��������Լ���Ĭ�� ACI ����

Configuration Administrators ������г�Ա�����ж� NetscapeRoot ����ij����Ȩ��֮�������Ȩ�ޡ��������ǿ��Խ��³�Ա��ӵ����ù���Ա���С�
�����û����ж� NetscapeRoot ����Ľ�������Ͷ�ȡ������������Ȩ��
��)չ ACI ���������ij�Ա�����鶨�塣

���漸�ڽ���������޸���ЩĬ�������Է����λ����Ҫ��

---

ACI �﷨

ACI �Ǿ��������ܱ��ĸ��ӽṹ������ʹ�ÿ���̨��������д������޸� ACI����Ӧ���˽� LDIF �е� ACI �﷨������С����ϸ���� ACI �﷨��

��ʾ	��Ϊ ACI �﷨�Ƚϸ��ӣ����� Directory Server Console ��֧������ ACI �Ŀ��ӱ༭�����⣬ʹ��������Ϊ����Ŀ¼��Ŀ���÷��ʿ������öࡣ��ˣ��˽� ACI �﷨�Ǵ����߱���Ч���ʿ��Ƶİ�ȫĿ¼�Ĺؼ�

aci ���Ծ��������﷨��

aci:(target)(version 3.0;acl name;permission bindRules;)

����

target ָ��Ҫ��������ʵ���Ŀ�����Ի���Ŀ�����Լ���Ŀ������DZ�ʶ��ơ�һ��������ԣ��򵥸� LDAP ������Ŀ���ǿ�ѡ�ġ�û��ָ��Ŀ��ʱ��ACI Ӧ���ڶ��� ACI �������Ŀ������������Ŀ��
version 3.0 �DZ�ʶ ACI �汾�������ַ�
name �� ACI ����ơ���ƿ����DZ�ʶ ACI ���κ��ַ�ACI ����DZ���ģ���Ӧ������ ACI ��Ч��

��ʾ	��Ȼ�����û�����ƣ�����û��Ƕ� ACI ʹ��Ψһ��ơ����ʹ��Ψһ��ƣ��������ЧȨ�ޡ�����ʹ�����ȷ���ĸ� ACI ��Ч��

permission ����涨�������ܾ���ЩȨ�ޣ����磬��ȡ������Ȩ�ޣ���
bindRules ָ���û�Ҫ���������Ȩ�����ṩ��ƾ֤�Ͱ󶨲���󶨹��򻹿��Ի����û���ݻ����Ա��ݻ�ͻ����l�����ԡ�

���Ծ��ж��Ŀ���Ȩ��-�󶨹���ԡ���������Ե�����Ŀ����ΪĿ������ԣ�����Ը�Ŀ����Ч�����ö����ʿ��ơ����磺

aci:(target)...(target)(version 3.0;acl name; permission bindRule;permission bindRule; ...; permission bindRule;)

����������� LDIF ACI ��ʾ��

aci: (target=ldap:///uid=bjensen,dc=example,dc=com(targetattr=*)(version 3.0; acl example; allow (write)userdn=ldap:///self;)

�ڱ�ʾ���У�ACI �����û� bjensen �����޸����Լ���Ŀ¼��Ŀ���������Ե�Ȩ�ޡ�

���漸�ڱȽ���ϸ�ؽ����� ACI ��ÿ���ֵ��﷨��

����Ŀ��

Ŀ���ʶ ACI Ӧ�õĶ��󡣵��ͻ���Ҫ�����Ŀ�е�����ִ�в���ʱ���������9�Ŀ�꣬�Ӷ�ȷ���Ƿ�����9� ACI �������ܾ�˲������δָ��Ŀ�꣬�� ACI Ӧ���ڰ� aci ���Ե���Ŀ�е����������Լ����������Ŀ��

Ŀ���ͨ���﷨�������﷨֮һ��

(keyword = expression)

(keyword != expression)

����

keyword ��ʾĿ������͡�Ŀ����������������� 6-1 �еĹؼ��ֶ���ģ�
Ŀ¼��Ŀ��������
��Ŀ�����ԡ�
ƥ�� LDAP �������һ����Ŀ�����ԡ�
ƥ�� LDAP �����������ֵ��ֵ����ϡ�
�Ⱥ� (=) ��ʾĿ���� ���ʽ ��ָ���Ķ��󣬶�Ⱥ� (!=) ��ʾĿ���� ���ʽ ��δָ�����κζ���

ע	targattrfilters �ؼ��ֲ�֧�֡����Ⱥš������

expression ȡ���ڹؼ��֣�����ʶĿ�ꡣ������Ŀǰ��ʵʩ�н��������� targetattr=* �ı��ʽ�������﷨��˵��expression }�ߵ���� ("") ������Ҫ�ġ��ڽ�4�İ汾�У��﷨��齫��ø�Ϊ�ϸ�������ʼ��ʹ����š�

�±��г�ÿ��ؼ����Լ���j�ı��ʽ��

�� 6-1 LDIF Ŀ��ؼ���

�ؼ���	��Ч���ʽ	�Ƿ�����ͨ���
target	ldap:///distinguished_name	��
targetattr	attribute	��
targetfilter	LDAP_filter	��
targattrfilters	LDAP_operation:LDAP_filter	��

��Ŀ¼��Ŀ��ΪĿ��

ʹ��Ŀ��ؼ����Լ� LDAP URL �е� DN ���Խ��ض�Ŀ¼��Ŀ�Լ��������������Ŀ��ΪĿ�ꡣĿ�� DN ����λ�ڶ��� ACI ����Ŀ�µ������С�Ŀ����ʽ���������﷨��

(target = "ldap:///distinguished_name")
(target != "ldap:///distinguished_name")

��ʶ��Ʊ���λ���Զ��� ACI ����Ŀ��Ϊ��������С����磬������ ou=People,dc=example,dc=com �ϵ� ACI ��ʹ������Ŀ�꣺

(target = "ldap:///uid=bjensen,ou=People,dc=example,dc=com")

ע	���ַ��ʾ��ʽ (RFC 2253) �У���Ŀ�� DN �����DZ�ʶ��ơ���ˣ����﷨�϶��ԣ��� DN ����Ҫ���ַ��綺�ţ�����ʹ�õ���б�� (\) ����ת�塣���磺 (target="ldap:///uid=cfuentes,o=Example Bolivia\, S.A.")

�������� DN ��ʹ��ͨ����Ա㽫�� LDAP URL ƥ�������������Ŀ��ΪĿ�ꡣ�����ǺϷ���ͨ����÷�ʾ��

(target="ldap:///uid=*,dc=example,dc=com")

ƥ����� example.com ���е�����Ŀ�� RDN �о��� uid ���Ե�ÿһ����Ŀ����Ŀ�꽫������������ȵ���Ŀ��ƥ�䣬���磺

uid=tmorris,ou=sales,dc=example,dc=com
uid=yyorgens,ou=marketing,dc=example,dc=com
uid=bjensen,ou=eng,ou=east,dc=example,dc=com

(target="ldap:///uid=*Anderson,ou=People,dc=example,dc=com")

ƥ�� uid �� Anderson ��β�� ou=People ��֧�е�ÿ����Ŀ��

(target="ldap:///*Anderson,ou=People,dc=example,dc=com")

ƥ�� RDN �� Anderson ��β�� ou=People ��֧�е�ÿ����Ŀ�����������������ԡ�

����ʹ�ö��ͨ����� uid=*,ou=*,dc=example,dc=com����ʾ��ƥ�� example.com ���е����ʶ��ư� uid �� ou ���Ե�ÿ����Ŀ��

ע	�����ڱ�ʶ��Ƶĺ�׺����ʹ��ͨ��������Ŀ¼ʹ�ú�׺ c=US �� c=GB��������ʹ������Ŀ��4����}���׺�� (target="ldap:///dc=example,c=*")�� Ҳ����ʹ������ uid=bjensen,o=*.com ֮���Ŀ�ꡣ

��������ΪĿ��

���˽�Ŀ¼��Ŀ��ΪĿ��֮�⣬�����Խ�Ŀ����Ŀ�г��ֵ�һ��������ԣ������������֮����������ԣ���ΪĿ�ꡣ��һ�ص�����Ҫ�ܾ����������й�һ����Ŀ�IJ�����Ϣʱʮ�����á����磬����ֻ�������һ�����Ŀ��ͨ�����գ��Լ��绰�������ԡ�Ҳ���Ծܾ������������֮��������Ϣ�ķ��ʡ�

���û���ṩ targetattr ������Ĭ������½��޷������κ����ԡ�Ҫ�����������ԣ��������Ϊ targetattr="*"��

��ΪĿ������Բ���Ҫ������Ŀ����Ŀ���������У������ۺ�ʱ��Щ���Դ�������Ŀ���������У�ACI ����Ӧ����Щ���ԡ�����Ҫ�ڼܹ��ж�����ΪĿ������ԡ�ȱ�ټܹ����ʹ���ڵ�����ݼ���ܹ�֮ǰʵ�ַ��ʿ��Ʋ��Գ�Ϊ���ܡ�

Ҫ��������ΪĿ�꣬����ʹ�� targetattr �ؼ��ֲ��ṩ������ơ�targetattr �ؼ���ʹ�������﷨��

(targetattr = "attribute")
(targetattr != "attribute")

����ʹ�� targetattr �ؼ��֣���ʹ�������﷨�������������ΪĿ�꣺

(targetattr = "attribute1 || attribute2 ...|| attributen")
(targetattr != "attribute1 || attribute2 ...|| attributen")

���磬Ҫ��һ����Ŀ��ͨ�����պ� uid ������ΪĿ�꣬����ʹ�������﷨��

(targetattr = "cn || sn || uid")

����ΪĿ������԰�(ָ�������Ե����������͡����磬(targetattr = "locality") ���� locality;lang-fr ��ΪĿ�ꡣ������ר�Ž���������ΪĿ�꣬���� (targetattr = "locality;lang-fr-ca")��

������� targetattr ������ʹ��ͨ������Dz�������������Ϊ����Ϊͨ���û��ʲô��������壬���һ�����ܴ�4����Ӱ�졣

����Ŀ��������ΪĿ��

Ĭ������£��� targetattr �ؼ��ֵ� ACI ����Ե���Ŀ����������� ACI ����Ŀ��������� ACI

aci:(targetattr = "uid")(accessControlRules;)

������ ou=Marketing, dc=example,dc=com ��Ŀ�ϣ���ô�� ACI Ӧ������� Marketing ����Ȼ������ʹ�� target �ؼ�����ʽָ��һ��Ŀ�꣬������ʾ��

aci:(target="ldap:///uid=*,ou=Marketing,dc=example,dc=com")
(targetattr="uid") (accessControlRules;)

ָ�� target �� targetattr �ؼ��ֵ�˳�򲻷��Ⱥ�

ʹ�� LDAP ��������Ŀ��������ΪĿ��

����ʹ�� LDAP ������ƥ��ijЩ�����һ����Ŀ��ΪĿ�ꡣҪ����һ�㣬�ɽ� targetfilter �ؼ����� LDAP ������һ��ʹ�á�ACI ��Ӧ�������ض���������ƥ���������Ŀ����Щ�ض���������λ�ڰ�� ACI ����Ŀ�µ������С�

targetfilter �ؼ��ֵ��﷨�ǣ�

(targetfilter = "LDAPfilter")

���У�LDAPfilter �DZ�׼ LDAP ����������йع������﷨����ϸ��Ϣ������� ��LDAP �����������

���磬�ٶ�����Ա��������Ŀ������нˮ���ͬ��״̬,�ʹ����Ϊȫְְλ�İٷֱȵĹ���Сʱ������ԡ�Ҫ������ͬ�����ְ��Ա��������Ŀ��ΪĿ�꣬����ʹ�����й�����

(targetfilter = "(|(status=contractor)(fulltime=79))")

ע	ACI �в�֧�������ʻ�ֵ��ƥ�����Ĺ������﷨�����磬����Ŀ���������Ч�� (targetfilter = "(locality:fr:== Quebec)")

Ŀ�������ѡ�������Ŀ��Ϊ ACI ��Ŀ�ꡣ���Թ�j targetfilter �� targetattr �ؼ����Դ��� ACI���Ա�Ӧ����Ŀ����Ŀ�е������Ӽ���

���� LDIF ʾ������ Engineering Admins ��ij�Ա�޸� Engineering ҵ������е�������Ŀ�� departmentNumber �� manager ���ԡ���ʾ��ʹ�� LDAP ������ѡ���� businessCategory ���Ա�����Ϊ Engineering ��������Ŀ��

dn: dc=example,dc=com
objectClass: top
objectClass: organization
aci: (targetattr="departmentNumber || manager")
 (targetfilter="(businessCategory=Engineering)")
 (version 3.0; acl "eng-admins-write"; allow (write)
 groupdn ="ldap:///cn=Engineering Admins, dc=example,dc=com";)

��ʾ	��Ȼ�ڽ���ɢ��Ŀ¼�е���Ŀ��������ΪĿ��ʱ��ʹ�� LDAP ������Ƚ����ã����ǽ����ʱ����Ԥ�ϣ���Ϊ������ֱ��ָ��Ҫ��������ʵĶ����������Ե���ӻ��޸ģ����ѹ��˵� ACI ��ΪĿ�����Ŀ�����ܻᷢ��仯����ˣ������ ACI ��ʹ�� LDAP ��������Ӧ���� ldapsearch ������ʹ��ͬһ��������֤������Ե���Ŀ��������ȷ��

ʹ�� LDAP ����������ֵ��ΪĿ��

����ʹ�÷��ʿ����Ա㽫�ض�������ֵ��ΪĿ�ꡣ��������һ�����Ե�ֵ���� ACI �ж���������������ڸ������������ܾ�Ȩ�ޡ��������Ե�ֵ�����ܾ����Ȩ�޵� ACI �������ֵ�� ACI��

���磬���Ը���λ�������û�����Ȩ�ޣ��Ա������ܹ��޸��Լ�����Ŀ�е� nsRoleDN ���ԡ�Ȼ����Ҫȷ�����Dz��������Լ��������硰��������Ա��֮���ijЩ�ؼ��ɫ������ʹ�� LDAP ������������ֵ�ϵ�����Ƿ����㡣

Ҫ��������ֵ�� ACI������ʹ�� targattrfilters �ؼ��֣���ʹ�������﷨��

(targattrfilters="add=attr1:F1 attr2:F2... attrn:Fn,
                  del=attr1:F1 attr2:F2 ... attrn:Fn")

����

add ��?��һ�����ԵIJ���
del ���ɾ��һ�����ԵIJ���
attrn ���Ŀ�����ԡ�
Fn ���ֻӦ���ڹ�j�����ԵĹ�����

�ڴ���һ����Ŀʱ�����һ�������Ӧ��������Ŀ�е�һ�����ԣ���ô�����Ե�ÿ��ʵ���������ù�������ɾ��һ����Ŀʱ�����һ�������Ӧ���ڸ���Ŀ�е�һ�����ԣ���ô�����Ե�ÿ��ʵ��Ҳ����������ù�����

���޸�һ����Ŀʱ�������������һ�����ԣ���ô��������Ӧ���ڸ����Ե���ӹ�������������ɾ��һ�����ԣ���ô��������Ӧ���ڸ����Ե�ɾ�����������滻��Ŀ���Ѿ�������һ�����Եĵ���ֵ����ô����������Ӻ�ɾ�������

���磬�뿴�������Թ�����

(targattrfilters="add=nsroleDN:(!(nsRoleDN=cn=superAdmin)) && telephoneNumber:(telephoneNumber=123*)")

�˹���������������û��������Լ�����Ŀ��ӳ� superAdmin ��ɫ֮����κν�ɫ��nsRoleDN ���ԣ����������û����ǰ׺Ϊ 123 �ĵ绰���롣

ע	���ܴ� Directory Server Console ��������ֵ�� ACI��

������Ŀ¼��Ŀ��ΪĿ��

û�п��Խ�������Ŀ��ΪĿ���ֱ�ӷ�����Ȼ�����ǿ��԰쵽�ģ�

ͨ��һ��󶨹�����ƥ��������е��û�������Ŀ����Ŀ�д洢������ֵ���й���ϸ��Ϣ�������������ֵƥ��4������ʡ���
ͨ��ʹ�� targetfilter �ؼ��֡�

ʹ�� targetfilter �ؼ��ֿ���ָ���������������Ŀ�е�����ֵ�����磬�ڰ�װ Directory Server �ڼ䣬���������� ACI��

aci: (targetattr="*")(targetfilter=(o=NetscapeRoot))
 (version 3.0; acl "Default anonymous access";
 allow (read, search) userdn="ldap:///anyone";)

�� ACI ����Ӧ���� o=NetscapeRoot ��Ŀ����Ϊ����Ŀ�Ǿ��� o �����Ҹ����Ե�ֵΪ NetscapeRoot ��Ψһ��Ŀ��

����Щ������j�ķ����ǣ�Ŀ¼��4���ܻᷢ��仯�������ס�޸Ĵ� ACI��

ʹ�ú궨��Ŀ��

����ʹ�ú�4��� ACI Ŀ�겿���е� DN���Ӷ��Ż�Ŀ¼��ʹ�õ� ACI ���й���ϸ��Ϣ����������߼����ʿ��ƣ�ʹ�ú� ACI����

�趨Ȩ��

Ȩ��ָ�������ܾ�ķ������͡����������ܾ���Ŀ¼��ִ���ض������Ȩ�ޡ�����ָ�ɵĸ��ֲ���Ҳ������Ȩ����

����Ȩ����}���֣�

�����ܾ����
ָ��Ȩ��

�����ܾ����

������ʽ�����ܾ��Ŀ¼��ķ���Ȩ�ޡ��йغ�ʱ��������Լ���ʱ�ܾ���ʵ���ϸָ��˵������ġ�Directory Server Deployment Planning Guide��Chapter 7 �е� "Designing Access Control"��

ָ��Ȩ��

Ȩ���������û����Զ�Ŀ¼���ִ�е��ض�������������ܾ�����Ȩ�ޣ�Ҳ����ָ������һ�����Ȩ�ޣ�

��ȡ����ʾ�û��Ƿ���Զ�ȡĿ¼��ݡ���Ȩ��ֻ��Ӧ�����������

д�롣��ʾ�û��Ƿ����ͨ����ӡ��޸Ļ�ɾ������4�޸���Ŀ����Ȩ��Ӧ�����޸ĺ� modrdn ����

��ӡ���ʾ�û��Ƿ���Դ�����Ŀ����Ȩ��ֻ��Ӧ������Ӳ���

ɾ����ʾ�û��Ƿ����ɾ����Ŀ����Ȩ��ֻ��Ӧ����ɾ�����

������ʾ�û��Ƿ��������Ŀ¼��ݡ��û������������Ͷ�ȡȨ�ޣ��Ա�鿴��Ϊ�������һ���ַ��ص���ݡ���Ȩ��ֻ��Ӧ�����������

�Ƚϡ���ʾ�û��Ƿ���Խ������ṩ�������洢��Ŀ¼�е���ݽ��бȽϡ�ͨ��Ƚ�Ȩ�ޣ�Ŀ¼��Ӧһ���ѯ���سɹ���ʧ����Ϣ�����û����ܲ鿴��Ŀ�����Ե�ֵ����Ȩ��ֻ��Ӧ���ڱȽϲ���

����д�롣��ʾ�û��Ƿ������Ŀ����Ŀ����������ӻ�ɾ���Լ��� DN�������Ե��﷨�����ǡ���ʶ��ơ�����Ȩ��ֻ�����ڽ�������?����д����������Ȩһ��ʹ�ã���������һ������Ŀ��ӣ����һ������Ŀɾ����� DN ��Ȩ�ޣ����ǰ��û��� DN����

���?��ʾָ���� DN �Ƿ��������һ����Ŀ��Ȩ�޷���Ŀ�ꡣ����ʹ��Ŀ¼�е��κ��û��� DN ����������Ȩ�ޣ���Ŀ¼����Ա DN ���⡣���⣬Ҳ���ܸ�Ŀ¼����Ա�������Ȩ�ޡ���������Ȩ ACI ʾ�����ṩ��һ��ʾ��

���С���ʾָ���� DN �������Ŀ����Ŀ������Ȩ�ޣ���ȡ��д�롢����ɾ��ȽϺ�����д�룩������Ȩ��������

Ȩ���DZ˴˶�b������ġ���������磬���������Ȩ�޵��û����Դ�����Ŀ���������û���ر�����ɾ��Ȩ�ޣ���ô���û��Ͳ���ɾ����Ŀ����ˣ��ڹ滮Ŀ¼�ķ��ʿ��Ʋ���ʱ������ȷ���Զ��û�������ķ�ʽ����Ȩ�ޡ����磬��û�������ȡ������Ȩ�ޣ�������д��Ȩ��ͨ��û�����塣

ִ�� LDAP ���������Ȩ��

���ڽ�������Ҫ�����û���Ȩ�ޣ�����Ҫȡ������Ȩ�û�ִ�� LDAP ��������͡�

�����Ŀ��

������Ա���ӵ���Ŀ�����Ȩ�ޡ�
������Ը���Ŀ�е�ÿ������ֵ��д��Ȩ�ޡ�Ĭ������£���Ȩ��������ģ�������ʹ�� targattrfilters �ؼ��ֽ������ơ�

ɾ����Ŀ��

�������Ҫɾ�����Ŀ��ɾ��Ȩ�ޡ�
������Ը���Ŀ�е�ÿ������ֵ��д��Ȩ�ޡ�Ĭ������£���Ȩ��������ģ�������ʹ�� targattrfilters �ؼ��ֽ������ơ�

�޸�һ����Ŀ�е����ԣ�

��������������͵�д��Ȩ�ޡ�
�������ÿ����������ֵ��д��Ȩ�ޡ�Ĭ������£���Ȩ��������ģ�������ʹ�� targattrfilters �ؼ��ֽ������ơ�

�޸�һ����Ŀ�� RDN��

������Ը���Ŀ��д��Ȩ�ޡ�
��������� RDN ��ʹ�õ��������͵�д��Ȩ�ޡ�
�����Ҫ����ɾ��ɵ� RDN ��Ȩ�ޣ���������Ծɵ� RDN ��ʹ�õ��������͵�д��Ȩ�ޡ�
��������� RDN ��ʹ�õ��������͵�ֵ��д��Ȩ�ޡ�Ĭ������£���Ȩ��������ģ�������ʹ�� targattrfilters �ؼ��ֽ������ơ�

�Ƚ�һ�����Ե�ֵ��

��������������͵ıȽ�Ȩ�ޡ�

������Ŀ��

������������������ʹ�õ�ÿ���������͵�����Ȩ�ޡ�
Ϊ��Ŀ��ʹ�õ�����һ���������������ȡȨ����ȷ������Ŀ�ķ��ء�
��Ҫ����Ŀ���ص�ÿ���������������ȡȨ�ޡ�

����Ҫ����Ȩ���Ա��û��ܹ�����Ŀ¼������ʾ���ʹ������׵������һ�㡣��鿴��������

ldapsearch -h host -p port -D "uid=bjensen,dc=example,dc=com" \
           -w password -b "dc=example,dc=com" \
             "(objectclass=*)" mail

���� ACI ����ȷ���Ƿ����Ϊ�û� bjensen ������������ӵ�е���Ŀ�ķ���Ȩ�ޣ�

aci: (targetattr = "mail")(version 3.0; acl "self access to
 mail"; allow (read, search) userdn = "ldap:///self";)

�������б�Ϊ�գ���Ϊ�� ACI ������ bjensen �������� objectclass ���Ե�Ȩ�ޡ����ϣ������������������ɹ�������밴���·�ʽ�޸� ACI��

aci: (targetattr = "mail || objectclass")(version 3.0; acl "self
 access to mail"; allow (read, search) userdn = "ldap:///self";)

Ȩ���﷨

�� ACI ����У�Ȩ�޵��﷨�ǣ�

allow|deny (rights)

���У�rights ��һ����(��(��4�Ĺؼ����б?���а�( 1 �� 8 ���Զ��ŷָ�Ĺؼ��֡���Ч�Ĺؼ����У�read��write��add��delete��search��compare��selfwrite�� proxy �� all��

������ʾ���У����󶨹����9�Ϊ true���������ȡ������ͱȽϷ��ʣ�

aci: (target="ldap:///dc=example,dc=com") (version 3.0;acl
 "example"; allow (read, search, compare) bindRule;)

---

�󶨹���

����ijЩ�����������Ŀ¼����ȡ����ΪĿ¼����� ACI������������ṩ�� DN �Ϳ�����ʹ�� SSL�����ṩһ��֤�飩�����ܵ�¼��Ŀ¼�����Ŀ¼�����Լ�������֤���󶨲������ṩ��ƾ֤���Լ��󶨵��������?�Ǿܾ��Ŀ¼���з��ʡ�

ACI �����õ�ÿһ��Ȩ�޶����ж�Ӧ�İ󶨹����Ա���ϸ���������ƾ֤�Ͱ󶨲���

�򵥵İ󶨹������Ҫ�����Ŀ¼����Ա��������ij���ض��顣���ӵİ󶨹����������ij���˱��������ض��飬���ұ���ͨ��ʹ���ض� IP ��ַ�ļ���������� 8 ������� 5 ��֮����е�¼��

�󶨹������˺��ˡ���ʱ���Լ��Ӻδ����Է���Ŀ¼�������ؽ����󶨹������ָ����

���������Ȩ�޵��û������Լ���ɫ
һ��ʵ�������а󶨵�λ�á���ע�⣬���û���֤λ�ÿ��ܲ���ʵ���������Dz������ε�λ�á��벻Ҫ�� ACI ����ڴ���Ϣ��
�󶨱��뷢���ʱ�������
�ڰ��ڼ����ʹ�õ���֤����

���⣬�󶨹�������Ǹ��ӽṹ���Ա�ͨ��ʹ�ò��������4�ϲ�������й���ϸ��Ϣ���������ʹ�ò���󶨹�����

�� RFC 2251 ����Ŀ¼����Э�� (v3) �������������һ����ֵ�߼��9� ACI ��ʹ�õ��߼����ʽ������ֵ�߼������������9� LDAP ��������߼�����֮������������ʽ�е���������9�Ϊδ���壨���磬���������Դ���ƶ���ֹ�ı��ʽ���9#���������������ȷ���������������������Ȩ�ޣ���Ϊ�ڸ��ӵIJ�����ʽ�з�����δ�����ֵ��

�󶨹�����﷨

�����?�Ǿܾ���ʣ���ȡ����һ�� ACI �İ󶨹����Ƿ��9�Ϊ true���󶨹���ʹ������}��ģʽ֮һ��

keyword = "expression";

keyword != "expression";

���У��Ⱥ� (=) ��ʾ keyword �� expression ����ƥ����ܱ�֤�󶨹���Ϊ true����Ⱥ� (!=) ��ʾ keyword �� expression ���벻ƥ����ܱ�֤�󶨹���Ϊ true��

ע	timeofday �ؼ���Ҳ֧�ֲ���ʽ��<��<=��>��>=��������֧����Щ���ʽ��Ψһ�ؼ��֡�

expression }�߱�������� ("")������Ҫ�н綨�ֺ� (;)������ʹ�õı��ʽȡ���ڹ�j�� keyword��

�±��г���ÿ��ؼ����Լ���j�ı��ʽ����ָ�����ڱ��ʽ���Ƿ�����ʹ��ͨ���

�� 6-2 LDIF �󶨹���ؼ���

�ؼ���	��Ч���ʽ	�Ƿ�����ͨ���
userdn	ldap:///distinguished_name ldap:///all ldap:///anyone ldap:///self ldap:///parent ldap:///suffix??sub?(filter)	�ǣ�ֻ���� DN ��
groupdn	[ldap:///DN]	��
roledn	[ldap:///DN]	��
userattr	attribute#bindType �� attribute#value	��
ip	IP_address	��
dns	DNS_host_name	��
dayofweek	sun mon tue wed thu fri sat	��
timeofday	0 - 2359	��
authmethod	none simple ssl sasl authentication_method	��

���漸�ڽ�һ��������ÿ��ؼ��ֵİ󶨹����﷨��

�����û����ʡ�userdn �ؼ���

�û�������ʹ�� userdn �ؼ��ֽ��ж���ġ�userdn �ؼ�����Ҫһ�������Ч��ʶ��ƣ����������и�ʽ��

userdn = "ldap:///dn [|| ldap:///dn]..."
userdn != "ldap:///dn [|| ldap:///dn]..."

���У�dn ������ DN �� anyone��all��self �� parent ���ʽ�е�ijһ����Щ���ʽ�����������û���

userdn = "ldap:///anyone"�������û��;�����֤���û���
userdn = "ldap:///all"�������֤���û���
userdn = "ldap:///self"������ ACI ��Ŀ����Ŀ��ͬ���û���
userdn = "ldap:///parent"���� ACI Ŀ��ĸ���Ŀ��

userdn �ؼ��ֻ����Ա�ʾ��������ʽ�� LDAP ������

userdn = ldap:///suffix??sub?(filter)

ע	���﷨�϶��ԣ��� DN ����Ҫ���ַ����綺�ţ�����ʹ�õ���б�� (\) ����ת�塣

������ʣ�anyone �ؼ��֣�

�����Ŀ¼�����������ζ�ţ��κ��������ṩ�� DN �����Ϳ��Է������Ҳ��ܰ󶨵������Ρ�������ʿ��������ض��ķ������ͣ����磬��ȡ���ʻ�������ʣ���Ŀ¼�е��ض�������򵥸���Ŀ��ʹ�� anyone �ؼ��ֵ��������Ҳ�������о�����֤���û����ʡ�

���磬�����Ҫ�������� example.com ����������ȡ��������ʣ������� dc=example,dc=com �ڵ㴴������ ACI��

aci: (version 3.0; acl "anonymous-read-search";
 allow (read, search) userdn = "ldap:///anyone";)

һ����ʣ�all �ؼ��֣�

����ʹ�ð󶨹���ָ��Ӧ�����Ѿ��ɹ��ذ󶨵�Ŀ¼���κ��˵�Ȩ�ޡ���ˣ�all �ؼ����������о�����֤���û����ʡ��⽫����һ����ʣ�ͬʱ�ֿɷ�ֹ������ʡ�

���磬�����Ҫ�����о�����֤���û�����������Ķ�ȡ���ʣ������� dc=example,dc=com �ڵ㴴������ ACI��

aci:(version 3.0; acl "all-read"; allow (read)
 userdn="ldap:///all";)

�Է��ʣ�self �ؼ��֣�

ָ���û��������ܾ�������Լ�����Ŀ�ķ��ʡ�����������£����� DN ƥ��Ŀ����Ŀ�� DN���������ܾ���ʡ�

���磬�����Ҫ���� example.com ���е������û������ǵ� userPassword ���Ե�д����ʣ�������� dc=example,dc=com �ڵ��ϴ������� ACI��

aci:(targetattr = "userPassword") (version 3.0; acl
 "modify own password"; allow (write) userdn = "ldap:///self";)

�����ʣ�parent �ؼ��֣�

ָ��ֻ�����û��İ� DN ��Ŀ����Ŀ�ĸ�����������û��ű������ܾ�Ը���Ŀ�ķ��ʡ���ע�⣬������ Server Console ���ֶ��༭ ACI ��ʹ�� parent �ؼ��֡�

���磬�����Ҫ�����û��޸���� DN ����������Ŀ��������� dc=example,dc=com �ڵ��ϴ������� ACI��

aci:(version 3.0; acl "parent access";
 allow (write) userdn="ldap:///parent";)

LDAP URL

����ʹ�þ��й������ URL ��̬�ؽ� ACI �е��û���ΪĿ�꣬������ʾ��

userdn = "ldap:///suffix??sub?(filter)"

���磬���������� URL �����ܾ� example.com ��� accounting �� engineering ��֧�е������û���Ŀ����Դ���з��ʣ�

userdn = "ldap:///dc=example,dc=com??sub?(|(ou=eng)(ou=acct))"

ע	��Ҫ�� LDAP URL ��ָ��������˿ںš�LDAP URL ʼ��Ӧ���ڱ��ط�����

�й� LDAP URL ����ϸ��Ϣ������ġ�Directory Server Administration Reference���е� Chapter 6 "LDAP URL Reference"��

ͨ���

������ͨ��ʹ��ͨ��� (*) ָ��һ���û������磬ָ�� uid=b*,dc=example,dc=com ���û� DN ��ʾ���������õ�Ȩ�ޣ�ֻ�о�������ĸ b ��ͷ�İ� DN ���û��ű������ܾ���ʡ�

LDAP URL ���߼� OR

ָ������ LDAP URL ��ؼ��ֱ��ʽ�Ա㴴���û����ʵĸ��ӹ������磺

userdn = "ldap:///uid=b*,c=example.com ||
 ldap:///cn=b*,dc=example,dc=com";

��������һ DN ģʽ�󶨵��û����󶨹��򶼽��9�Ϊ true��

�ų��ض� LDAP URL

ʹ�ò��Ⱥ� (!=) �������Զ��彫�ض� URL �� DN �ų�������û����ʡ����磺

userdn != "ldap:///uid=*,ou=Accounting,dc=example,dc=com";

���ͻ����Ϊ accounting �����еĻ��� UID �ı�ʶ��ƣ���󶨹����9�Ϊ true���˰󶨹���ֻ����Ŀ����Ŀ����Ŀ¼��� accounting ��֧�µ�����²������塣

��������ʡ�groupdn �ؼ���

�ض���ij�Ա���Է���Ŀ����Դ���ⱻ������������������ʹ�� groupdn �ؼ���4����ģ���ָ�����û�ʹ�������ض���� DN �󶨵�����¶�Ŀ����Ŀ�ķ��ʽ������?�DZ��ܾ�

groupdn �ؼ�����Ҫһ�������ı�ʶ��ƣ����������и�ʽ��

groupdn="ldap:///groupDN [|| ldap:///groupDN]..."

���� DN ���������� groupDNs ָ�����飬��󶨹����9�Ϊ true����һ�ڽ����ʹ�� groupdn �ؼ��ֵ�ʾ��

ע	���﷨�϶��ԣ��� DN ����Ҫ���ַ��綺�ţ�����ʹ�õ���б�� (\) ����ת�塣

�� LDAP URL

groupdn = "ldap:///cn=Administrators,dc=example,dc=com";

���� DN ���� Administrators �飬��󶨹����9�Ϊ true�������Ҫ���� Administrators ������Ŀ¼�����д���Ȩ�ޣ�������� dc=example,dc=com �ڵ㴴������ ACI��

aci:(version 3.0; acl "Administrators-write"; allow (write)
 groupdn="ldap:///cn=Administrators,dc=example,dc=com";)

LDAP URL ���߼� OR

groupdn = "ldap:///cn=Administrators,dc=example,dc=com ||
ldap:///cn=Mail Administrators,dc=example,dc=com";

���� DN ���� Administrators ��� Mail Administrators �飬��󶨹����9�Ϊ true��

�����ɫ���ʡ�roledn �ؼ���

�ض���ɫ�ij�Ա���Է���Ŀ����Դ���ⱻ������ɫ��������ɫ������ʹ�� Roledn �ؼ���4����ģ���ָ�����û�ʹ�������ض���ɫ�� DN �󶨵�����¶�Ŀ����Ŀ�ķ��ʽ������?�Ǿܾ�

roledn �ؼ�����Ҫһ�������Ч��ʶ��ƣ����������и�ʽ��

roledn = "ldap:///dn [|| ldap:///dn]...[|| ldap:///dn]"

���� DN ����ָ����ɫ����󶨹����9�Ϊ true��

ע	���﷨�϶��ԣ��� DN ����Ҫ���ַ����綺�ţ�����ʹ�õ���б�� (\) ����ת�塣

roledn �ؼ����� groupdn �ؼ��־�����ͬ�﷨��ʹ�÷�ʽҲ��ͬ��

����ֵƥ��4�������

�������ð󶨹�����ָ�����ڰ󶨵�Ŀ¼����Ŀ������ֵ����ƥ��Ŀ����Ŀ������ֵ��

���磬����ָ���� DN ����ƥ��һ���û���Ŀ�� manager �����е� DN ����ʹ ACI Ӧ�á�����������£�ֻ���û��Ĺ���Ա�ſ��Է��ʸ���Ŀ��

��ʾ����� DN ƥ�䡣Ȼ����Խ�����ʹ�õ���Ŀ���κ�������Ŀ����Ŀ����ƥ�䡣���磬���Դ���һ�� ACI���������� favoriteDrink ������ beer ���κ��û���ȡ������ͬ�� favoriteDrink ֵ�������û���������Ŀ��

ʹ�� userattr �ؼ���

userattr �ؼ��ֿ�����ָ����Щ����ֵ���������ڰ󶨵���Ŀ��Ŀ����Ŀ֮�����ƥ�䡣

����ָ����

�û� DN
�� DN
��ɫ DN
LDAP �������� LDAP URL ��
���������

userattr �ؼ��ֵ� LDIF �﷨������ʾ��

userattr = "attrName#bindType"

���ߣ����ʹ����Ҫ���û� DN���� DN����ɫ DN �� LDAP ������֮���ֵ���������ͣ�

userattr = "attrName#attrValue"

����

attrName �����ڽ���ֵƥ������Ե����
bindType �� USERDN��GROUPDN��ROLEDN��LDAPURL ���е�һ��
attrValue �Ǵ������ֵ���κ��ַ�

ע	���ܽ������� (CoS) ������ɵ������� userattr �ؼ���һ��ʹ�á���ȡ���� CoS ��ɵ�����ֵ�İ󶨹���� ACI ��������

���漸���ṩ���и��ֿ��ܵİ����͵� userattr �ؼ��ֵ�ʾ��

���� USERDN �����͵�ʾ��

������������û� DN �İ󶨹�j�� userattr �ؼ��ֵ�ʾ��

userattr = "manager#USERDN"

���� DN ƥ��Ŀ����Ŀ�е� manager ���Ե�ֵ����󶨹����9�Ϊ true������ʹ���������û��Ĺ���Ա�޸�Ա�������ԡ��˻���ֻ����Ŀ����Ŀ�е� manager ���Ա�ʾ������ DN ������²������á�

����ʾ���������Ա����Ա������Ŀ����ȫ����Ȩ��

aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
 (version 3.0;acl "manager-write";
 allow (all) userattr = "manager#USERDN";)

���� GROUPDN �����͵�ʾ��

������������� DN �İ󶨹�j�� userattr �ؼ��ֵ�ʾ��

userattr = "owner#GROUPDN"

���� DN ��Ŀ����Ŀ�� owner ������ָ����һ����ij�Ա����󶨹����9�Ϊ true�����磬����ʹ�ô˻�������һ�������Ա����״̬��Ϣ������ʹ�ó� owner ֮������ԣ�ֻҪ��ʹ�õ����԰�һ������Ŀ�� DN��

ָ���������Ƕ�̬�飬����� DN ������Ŀ¼�е��κκ�׺�¡�Ȼ���������������͵� ACI ���9������Դ�dz����

���ʹ������Ŀ����Ŀ��ͬ�ĺ�׺�µľ�̬�飬�����ʹ�����б��ʽ��

userattr = "ldap:///dc=example,dc=com?owner#GROUPDN"

�ڴ�ʾ���У�����Ŀ���� dc=example,dc=com ��׺�¡���������Ա���ǰ��ʾ����ش����������͵��﷨��

���� ROLEDN �����͵�ʾ��

����������ڽ�ɫ DN �İ󶨹�j�� userattr �ؼ��ֵ�ʾ��

userattr = "exampleEmployeeReportsTo#ROLEDN"

���� DN ����Ŀ����Ŀ�� exampleEmployeeReportsTo ������ָ���Ľ�ɫ����󶨹����9�Ϊ true�����磬���Ϊ��˾�����о��?��Ƕ�׽�ɫ�������ʹ�ô˻����������м���ľ�����ʵȼ��������Լ��͵�Ա������Ϣ��Ȩ�ޡ�

��ɫ�� DN ������Ŀ¼�е��κκ�׺�¡����⣬���ʹ�ù��˵Ľ�ɫ�����������͵� ACI ���9;�ռ�÷������ϵ������Դ��

���� LDAPURL �����͵�ʾ��

����������� LDAP ������İ󶨹�j�� userattr �ؼ��ֵ�ʾ��

userattr = "myfilter#LDAPURL"

���� DN ƥ��Ŀ����Ŀ�� myfilter ������ָ���Ĺ�������󶨹����9�Ϊ true��myfilter ���Կ����滻Ϊ�� LDAP ��������κ����ԡ�

�����κ�����ֵ��ʾ��

������������κ�����ֵ�İ󶨹�j�� userattr �ؼ��ֵ�ʾ��

userattr = "favoriteDrink#Beer"

���� DN ��Ŀ�� DN ��(���� Beer ֵ�� favoriteDrink ���ԣ���󶨹����9�Ϊ true��

ʹ�þ��м̳��Ե� userattr �ؼ���

��ʹ�� userattr �ؼ��ֽ����ڰ󶨵���Ŀ��Ŀ����Ŀ��jʱ��ACI ֻӦ����ָ����Ŀ�꣬��Ӧ�������������Ŀ����ijЩ����£����Խ� ACI Ӧ����Ŀ����Ŀ�������ͨ��ʹ�� parent �ؼ��֣���ָ��Ӧ�ü̳� ACI ��Ŀ������ļ�����Ϳ�������һ�㡣

�ڽ� userattr �ؼ����� parent �ؼ���j��ʹ��ʱ���﷨������ʾ��

userattr = "parent[inheritance_level].attribute#bindType"

���� ��

inheritance_level ��һ��ŷָ���б?��ʾĿ��������ټ��𽫼̳� ACI�����԰�(Ŀ����Ŀ�������� [0,1,2,3,4]���� (0) ��ʾĿ����Ŀ��
attribute �� userattr �� groupattr �ؼ�����Ե����ԡ�
bindType ����Ϊ USERDN �� GROUPDN��LDAPURL �� ROLEDN �����Ͳ�֧�ּ̳��ԡ�

���磺

userattr = "parent[0,1].manager#USERDN"

���� DN ƥ��Ŀ����Ŀ�� manager ���ԣ���˰󶨹����9�Ϊ true�����󶨹����9�Ϊ true ʱ�����Ȩ��Ӧ����Ŀ����Ŀ��Ӧ���ڽ����������������Ŀ��

���� userattr �̳��Ե�ʾ��

��ͼ�е�ʾ���ʾ�û� bjensen �������ȡ������ cn=Profiles ��Ŀ�Լ���( cn=mail �� cn=news ������Ŀ�ĵ�һ���

ͼ 6-1 ʹ�þ��� userattr �ؼ��ֵļ̳�

�ڴ�ʾ���У����û��ʹ�ü̳��ԣ������ִ�����в���֮һ�Ի����ͬ���

Ϊ�û� bjensen ��ʽ�������Ŀ¼�е� cn=Profiles��cn=mail �Լ� cn=news �Ķ�ȡ��������ʡ�
�� owner ���Ժ����� ACI ��ӵ� cn=mail,cn=Profiles �� cn=news,cn=Profiles ��Ŀ�У�

aci:(targetattr="*") (version 3.0; acl "profiles access"; allow
 (read,search) userattr="owner#USERDN";)

ʹ�� userattr �ؼ����������Ȩ��

��� userattr �ؼ����� all �� add Ȩ��һ��ʹ�ã���ᷢ�ַ��������Ϊ������Ԥ�ڵ�����ͨ��������Ŀ¼�д�������Ŀʱ��Directory Server �9����ڴ�������Ŀ�ϵķ���Ȩ�ޣ������98���Ŀ�ϵķ���Ȩ�ޡ�Ȼ���� ACI ʹ�� userattr �ؼ��ֵ�����£�����Ϊ���ܻ���ɰ�ȫ©���������޸ķ����������Ϊ�Ա����������

�뿴����ʾ��

aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
 (version 3.0; acl "manager-write"; allow (all)
 userattr = "manager#USERDN";)

�� ACI �������Ա�������DZ����Ա������Ŀ������Ȩ�ޡ�Ȼ�����ڷ���Ȩ���������ڴ�������Ŀ���95ģ��������͵� ACI ���������κ�Ա�������� manager ���Ա�����Ϊ�����Լ��� DN ����Ŀ�����磬�������Ա�� Joe (cn=Joe,ou=eng,dc=example,dc=com) ������Ҫ����� Human Resources ��֧�д���һ����Ŀ����ʹ�ã������ã����� Human Resources Ա����Ȩ�ޡ�

�����ͨ��������Ŀ����һ�㣺

dn: cn= Trojan Horse,ou=Human Resources,dc=example,dc=com
objectclass: top
...
cn: Trojan Horse
manager: cn=Joe,ou=eng,dc=example,dc=com

Ϊ�����������͵İ�ȫ��в��ACI �99�̲��ڼ��� 0�����������Ŀ���?�������Ȩ�ޡ�Ȼ�����ʹ�� parent �ؼ��������е���Ŀ�����������Ȩ�ޡ�����Ϊ���Ȩ��ָ������������ļ��������磬���� ACI �������� manager ����ƥ��� DN �� dc=example,dc=com �е��κ���Ŀ�������Ŀ��

aci: (target="ldap:///dc=example,dc=com")(targetattr="*")
 (version 3.0; acl "parent-access"; allow (add)
 userattr = "parent[0,1].manager#USERDN";)

�� ACI ȷ��ֻ����� DN ƥ�丸��Ŀ�� manager ���Ե��û��������Ȩ�ޡ�

����4���ض� IP ��ַ�ķ���

ͨ��ʹ�ð󶨹��򣬿���ָ��󶨲�����뷢��һ���ض� IP ��ַ����ͨ������ǿ�ƴ�һ���������������������Ŀ¼���¡�

���û��� IP ��ַ�İ󶨹���� LDIF �﷨������ʾ��

ip = "IPaddressList" �� ip != "IPaddressList"

IPaddressList ��һ������Զ��ŷָ��Ԫ���б?����Ϊ��������ֵ��

�ض� IPv4 ��ַ�� 123.45.6.7
����ͨ���� IPv4 ��ַ��4ָ�������磺 12.3.45.*
������������� IPv4 ��ַ�������磺 123.45.6.*+255.255.255.115
������Ϸ���ʽ���ֵ� IPv6 ��ַ���� RFC2373 (http://www.ietf.org/rfc/rfc2373.txt) �ж��塣���µ�ַ�ǵ�Ч�ģ�
12AB:0000:0000:CD30:0000:0000:0000:0000
12AB::CD30:0:0:0:0
12AB:0:0:CD30::
��������ǰ׺���ȵ� IPv6 ��ַ��12AB::CD30:0:0:0:0/60

������Ŀ¼�Ŀͻ���λ��ָ���� IP ��ַ����󶨹����9�Ϊ true������ֻ������ض������������е�ijЩ���͵�Ŀ¼���ʷdz����á���ע�⣬���û���֤λ�ÿ��ܲ���ʵ���������Ρ��벻Ҫ�� ACI ����ڴ���Ϣ��

���Դ� Server Console ͨ����ʿ��Ʊ༭��������Ӧ�� ACI ���ض�������й���ϸ��Ϣ���������ʹ�ÿ���̨���� ACI����

����4���ض���ķ���

�󶨹������ָ���󶨲�����뷢��һ���ض���������ͨ������ǿ�ƴ�һ���������������������Ŀ¼���¡�

���û��� DNS �����İ󶨹���� LDIF �﷨������ʾ��

dns = "DNS_Hostname" �� dns != "DNS_Hostname"

����	dns �ؼ���Ҫ������ļ������ʹ�õ���������� DNS�������������� DNS����Ӧ��ʹ�� ip �ؼ��ִ��档

dns �ؼ���Ҫ����ȫ���Ҫ��� DNS ������������ķ��ʶ�ָ������4DZ�ڵİ�ȫ��в�����磬����ʹ�����б��ʽ����������ʹ�ã�

dns = "legend.eng";

Ӧ��ʹ����ȫ���Ҫ�����ƣ��磺

dns = "legend.eng.example.com";

dns �ؼ�������ʹ��ͨ������磺

dns = "*.example.com";

������Ŀ¼�Ŀͻ���λ��ָ��������󶨹����9�Ϊ true�������ֻ������ض�����з��ʷdz����á�ע�⣬���ϵͳʹ�� DNS ֮������������ͨ��������á������������£������Ҫ���ƶ��ض���ķ��ʣ�����ʹ�� ip �ؼ��֣���������4���ض� IP ��ַ�ķ��ʡ���������ġ�

�����ض�ʱ������ڵķ���

����ʹ�ð󶨹���ָ����ֻ����ijЩʱ�����һ�������е�ijЩ�췢�����磬��������һ������Ա�ֻ����������һ������������ 8 ������� 5 ��֮����еķ��ʡ������97���Ȩ�޵�ʱ���� Directory Server �ϵ�ʱ�䣬���ǿͻ����ϵ�ʱ�䡣

���û���ʱ��İ󶨹���� LDIF �﷨������ʾ��

timeofday operator "time"

���� operator ���������з��֮һ���Ⱥ� (=)�����Ⱥ� (!=)�����ں� (>)�����ڵ��ں� (>=)��С�ں� (<) ����С�ڵ��ں� (<=)��ʱ������λ���ֵ���ʽ��ʾ����� 24 Сʱ�Ƶ�Сʱ�ͷ��ӣ�0 �� 2359�������磺

���ͻ�����ϵͳʱ����ʾΪ�������һ�����ڷ���Ŀ¼���� timeofday = "1200"; ��Ϊ true��
timeofday != "0100"; �ڳ��賿 1��������κ�ʱ����з���ʱ��Ϊ true��
timeofday > "0800"; �ڴ����� 8:01 ������ 11:59 ֮����з���ʱΪ true��
timeofday >= "0800"; �ڴ����� 8:00 ������ 11:59 ֮����з���ʱΪ true��
timeofday < "1800"; �ڴ���ҹ 12:00 ������ 5:59 ֮����з���ʱΪ true��

ע	�������ϵ�ʱ������������9� timeofday �� dayofweek �󶨹��򣬶��ǿͻ����ϵ�ʱ�䡣

���û���һ���ڸ���İ󶨹���� LDIF �﷨������ʾ��

dayofweek = "day1, day2 ..."

dayofweek �ؼ��ֵĿ��ܵ�ֵ�����ڼ������Ӣ����ĸ��д��sun��mon��tue��wed��thu��fri��sat��ָ��Ҫ�������Ȩ�޵������죬���磺

dayofweek = "Mon, Tue, Wed, Thu, Fri";

����������г��ijһ���з���Ŀ¼����󶨹���Ϊ true��

���������֤�����ķ���

�������ð󶨹���������ͻ������ʹ���ض���֤�����󶨵�Ŀ¼�����õ���֤�����У�

None������Ҫ��֤������Ĭ��ֵ������������ʡ�
Simple���ͻ�������ṩ�û���Ϳ�����ܰ󶨵�Ŀ¼��
SSL���ͻ������ͨ��ȫ�׽��ֲ� (SSL) ����㰲ȫ�� (TLS) l�Ӱ󶨵�Ŀ¼��

�� SSL ������£���b�� LDAPS �ڶ���˿ڵ�l�ӣ��� TLS ������£�ͨ��һ��ʼ TLS ����bl�ӡ�����}������£��������ṩ֤�顣�й����� SSL ����Ϣ��������� 11 �¡�������֤�ͼ��ܡ���

SASL���ͻ������ͨ�����֤�Ͱ�ȫ�� (SASL) ���ƣ��� DIGEST-MD5 �� GSSAPI���󶨵�Ŀ¼��

����ͨ����ʿ��Ʊ༭�����û�����֤�İ󶨹���

���û�����֤�����İ󶨹���� LDIF �﷨������ʾ��

authmethod = "authentication_method"

���� authentication_method �� none��simple��ssl �� sasl sasl_mechanism�����磺

ʾ��

������ authmethod �ؼ��ֵ�ʾ��

authmethod = "none"�� �ڰ󶨹����9��ڼ䲻�����֤��
authmethod = "simple"; ���ͻ���ʹ���û���Ϳ������Ŀ¼����󶨹��򽫱��9�Ϊ true��
authmethod = "ssl"; ���ͻ���ͨ�� LDAPS ʹ��֤����Ŀ¼������֤����󶨹����9�Ϊ true�����ͻ���ͨ�� LDAPS ʹ�ü���֤���� DN �Ϳ��������֤���򲻻�Ϊ true��
authmethod = "sasl DIGEST-MD5"; ���ͻ���ʹ�� SASL DIGEST-MD5 ���Ʒ���Ŀ¼����󶨹����9�Ϊ true��������֧�ֵ� SASL ������ EXTERNAL������ƽ̨���� GSSAPI������ Solaris ϵͳ�ϣ���

ʹ�ò���󶨹���

����ʹ�ò�����ʽ AND��OR���Լ� NOT 4���󶨹�������Ϊ���ӵı��ʽ���Ա��dz���ȷ�ķ��ʹ��򡣲���ʹ�� Server Console ��������󶨹��򡣱��봴�� LDIF ��䡣

����󶨹���� LDIF �﷨������ʾ��

bindRule [boolean][bindRule][boolean][bindRule]...;)

���磬���� DN �ǹ���Ա������ʼ�����Ա��ij�Ա�����ҿͻ��������� example.com ���ڣ���ô����İ󶨹��򽫱��9�Ϊ true��

(groupdn = "ldap:///cn=administrators,dc=example,dc=com" or
groupdn = "ldap:///cn=mail administrators,dc=example,dc=com" and
dns = "*.example.com";)

��ĩ�ֺ� (;) �DZ���ķָ��Ӧ���������һ��󶨹���֮��

�Բ�����ʽ���9���ѭ����˳��

���ȴ��ڵ����(�ű��ʽ�����9�
�������Ҷ����б��ʽ�����9�
NOT ���� AND �� OR �����

���� OR �Ͳ��� AND �����û�����ȼ�˳��

�뿴����IJ���󶨹���

(bindRule_A) OR (bindRule_B)

(bindRule_B) OR (bindRule_A)

���ڲ�����ʽ�Ǵ������ҽ����95ģ������ڵ�һ������£��󶨹��� A �ڰ󶨹��� B ֮ǰ�����9#����ڵڶ�������£��󶨹��� B �ڰ󶨹��� A ֮ǰ�����9!�

���ǣ����� NOT �ڲ��� OR �Ͳ��� AND ֮ǰ�����9!���ˣ��������ʾ���У�

(bindRule_A) AND NOT (bindRule_B)

���ܴ��ڴ������ҵĹ��򣬵��󶨹��� B �����ڰ󶨹��� A ֮ǰ�����9!�

---

��������� ACI

����ʹ�� LDIF ����ֶ��������ʿ���ָ��Լ�ʹ�� ldapmodify ���������ӵ�Ŀ¼����Ϊ ACI ֵ���ܷdz����ӣ����Բ鿴����ֵ��������и�����Э���µ� ACI����һ���dz����á�

�鿴 aci ����ֵ

ACI ��Ϊ aci ���Ե�һ�����ֵ�洢����Ŀ�ϡ�aci �����Ƕ�ֵ�������ԣ�������Ŀ¼�û���ȡ���޸ģ�����Ӧ���� ACI �����������û�ͨ��������� aci ���Ե���ȫ����Ȩ��������������ijһ�ַ�ʽ�鿴��ֵ��

������ͨ�ñ༭������鿴�κ�����ֵһ��鿴 aci ����ֵ���� Directory Server Console �Ķ�����Ŀ¼��ѡ��У��Ҽ����� ACI ����Ŀ����ѡ����ͨ�ñ༭����б༭���˵��Ȼ��aci ֵͨ���������ڴ˶Ի����в鿴�ͱ༭�ij��ַ�

�෴������ͨ���һ�Ŀ¼���е���Ŀ��ѡ�����÷���Ȩ�ޡ��˵���Ա���á����ʿ��Ʊ༭���ѡ��һ�� ACI ������༭����Ȼ�󵥻��ֶ��༭���Բ鿴��Ӧ�� aci ֵ��ͨ���� ACI ���ֶ��Ϳ��ӱ༭��֮���л������Խ� aci ֵ���﷨�������ý��бȽϡ�

������ϵͳ���?����Դӡ�ͨ�ñ༭����ֶ����ʿ��Ʊ༭����� aci ֵ������ճ�� LDIF �ļ��С������û�������ͨ���������� ldapsearch ����4�鿴��Ŀ�� aci ���ԣ�

ldapsearch -h host -p port -D "cn=Directory Manager" -w password \
             -b entryDN -s base "(objectclass=*)" aci

���Ϊ LDIF �ı������Խ��临�Ƶ��µ� LDIF ACI �������Ա����ڱ༭������ ACI ��ֵ�dz��ַ���� ldapsearch ����������ܻ���ʾΪ���У���һ��ո���һ������ǡ����ƺ�ճ�� LDIF ���ʱ�뽫��һ�㿼�ǽ�4��

ע	Ҫ�鿴�������ܾ��Ȩ��4��ʾ�� aci ֵ��Ч����������鿴��ЧȨ�ޡ���

---

ʹ�ÿ���̨���� ACI

�������� Directory Server Console 4��ʾĿ¼�е���Щ��Ŀ���� aci ���ԡ�ͨ��ѡ���ȡ��ѡ�񡰲鿴��>����ʾ��>��ACI ����˵�����л�����ʾ�������ġ�Ŀ¼��ѡ����г����Ŀ�������ӣ�ͬʱ��ʾ�����ǵ� aci �����ж���� ACI ������Ȼ�������ʹ�� Directory Server Console �鿴���������༭��ɾ��Ŀ¼�ķ��ʿ���ָ�

����������ʿ����÷�ʾ�������˽� Directory Server ��ȫ������ͨ��ʹ�õ�һ����ʿ��ƹ����Լ��й�ʹ�� Directory Server Console ������Щ����ķֲ�ָ����

�����ʿ��Ʊ༭��������ڿ��ӱ༭ģʽ�¹���ijЩ�Ƚϸ��ӵ� ACI�����彫������ͨ����ʿ��Ʊ༭��ִ�����в���

�ܾ���ʣ��������Ȩ���﷨����
��������ֵ�� ACI���������ʹ�� LDAP ����������ֵ��ΪĿ�ꡱ��
���常���ʣ�������������ʣ�parent �ؼ��֣�����
�������󶨹���� ACI���������ʹ�ò���󶨹�����
��ͨ������£�����ʹ�����йؼ��ֵ� ACI��roledn��userattr��authmethod

��ʾ	�ڷ��ʿ��Ʊ༭���У�������ʱ�����ֶ��༭����ť4���ͨ��ͼ�ν��������ĵ� LDIF ��ʾ��

�鿴��Ŀ�� ACI

�� Directory Server Console �Ķ�����Ŀ¼��ѡ��У����Ŀ¼������ʾҪΪ�����÷��ʿ��Ƶ���Ŀ����������Ŀ¼����Ա����Ȩ���ܱ༭ ACI��
�Ҽ�����Ŀ���ӵ���˵���ѡ�����÷���Ȩ�ޡ������ߣ��������������Ŀ����ѡ����ӡ����󡱲˵���ѡ�����÷���Ȩ�ޡ���

��ʾ�����ʿ��ƹ��?�Ի�������ͼ��ʾ�������г��˶���ѡ��Ŀ�϶�������� ACI �������������༭��ɾ�����ǣ��Լ������µ� ACI��

ͼ 6-2 �����ʿ��ƹ��?�Ի���



���ѡ�С���ʾ�̳е� ACI����ѡ�����г�����ѡ��Ŀ�ĸ��������Ӧ���ڸ���Ŀ������ ACI���̳е� ACI ���ܱ��༭��ɾ��������ڶ�����Щ ACI ����Ŀ�϶�����й��?

�����½�������ѡ����������������϶����µķ���Ȩ�ޡ�����ʾ��ͼ 6-3 ����ʾ�� ACI �༭��

ͼ 6-3 ��ACI �༭��Ի���

�Ի��򶥲��� ACI ����ǶԽ������ڡ����ʿ��ƹ��?�Ի����е� ACI �������ṩ�����Ե� ACI ��ƽ�ʹ�ö����Ŀ¼�е� ACI ���й����ø����ף��ر����ڲ鿴Ҷ��Ŀ�ϼ̳е� ACI ʱ������ˡ�

�����ʿ��Ʊ༭���ѡ�������ָ���������ܾ���ʵ��û��������ʻ����Ƶ�Ŀ�꣬�Լ����类����������Ͳ������֮��ĸ߼������йء����ʿ��ơ�ѡ��еĵ����ֶε���ϸ��Ϣ�������j�����

ACI �༭���ѡ���ͼ�η�ʽ��ʾ�� ACI ֵ�����ݡ������ֶ��༭����ť�Բ鿴 ACI ֵ�������ı�״̬�¶�����б༭�����ı��༭���У����Զ��岻��ͨ��ѡ�����ĸ߼� ACI��������ʹ��ʹ�ø߼����ܣ�һ���༭�� ACI ֵ�󣬾Ͳ������ڿ���״̬�±༭ ACI��

�����µ� ACI

��ʾ�����ʿ��Ʊ༭���

�����������鿴��Ŀ�� ACI�� �н���

�����ʾ����ͼ��ͬ��ͼ 6-3�����뵥����ӱ༭����

�ڡ�ACI ��ơ��ı����м������4�� ACI ��������

��ƿ������κ��ַ�����Ψһ�ر�ʶ�� ACI�����û��������ƣ�������ʹ��δ����� ACI��

�ڡ��û�/�顱ѡ��У�ͻ����ʾ�������û����򵥻���ӡ���ť4��Ŀ¼������Ҫ���������Ȩ���û���

�ڡ�����û����顱�����У�

����-�б���ѡ��һ�����������������ֶ�������һ�������ַ������������ť��

���������������б�����ʾ��4��

���������б���ͻ����ʾ�������Ŀ����������ӡ���ť������ӵ����з���Ȩ�޵���Ŀ�б��С�
����ȷ�����رա�����û����顱���ڡ�

����ѡ����Ŀ���� ACI �༭���еġ��û�/�顱ѡ����г�

�ڡ����ʿ��Ʊ༭���У�����Ȩ�ޡ�ѡ�����ʹ�ø�ѡ��4ѡ��Ҫ�����Ȩ�ޡ�
����Ŀ�ꡱѡ���Ȼ�󵥻����Ŀ��4��ʾ�� ACI ����ԵĽڵ㡣

����Ը��Ŀ�� DN ��ֵ������ DN ������ѡ����Ŀ��ֱ�ӻ�������Ŀ��

���ϣ��˽ڵ��µ������е�ÿһ����Ŀ�����ø� ACI����ô�����ڡ�����Ŀ���ֶεġ��������С�����һ�������

���⣬������ͨ���������б���ѡ�����������4�� ACI �������������ڸ�������ϡ�

�������ѡ���Ȼ�󵥻���ӡ���ť4��ʾ�������������Ի���

����ָ�������� IP ��ַ�����ָ�� IP ��ַ��������ʹ��ͨ��� (*)��

����ʱ�䡱ѡ�����ʾһ��������ʾ������Щʱ��������ʵı?

Ĭ������£����κ�ʱ��������ʡ�����ͨ����ڱ������ƹ��4��ķ���ʱ�䡣����ѡ��l���ʱ��顣

�༭�� ACI ֮�󣬵���ȷ������

��ACI �༭��رգ��µ� ACI �ڡ�ACI ����������г�

ע	�ڴ��� ACI �������ʱ�����Ե����ֶ��༭����ť����ʾ��Ӧ���������� LDIF ��䡣�����޸Ĵ���䣬����ĸ�IJ�һ����ͼ�ν����пɼ�

�༭ ACI

Ҫ�༭ ACI��

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������еĶ�����Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ���

�����ʿ��ƹ�������ڽ���ʾ��4��������ڸ���Ŀ�� ACI �б?

�ڡ����ʿ��ƹ�������ڣ�ͻ����ʾ��Ҫ�༭�� ACI��������༭����

�����ʿ��Ʊ༭�����ʾ��4���йؿ���ʹ�ô˶Ի���༭����Ϣ����ϸ��Ϣ�������j�����

�ڡ����ʿ��Ʊ༭��ĸ���ѡ��½�������ĸ�ġ�
�༭�� ACI ֮�󣬵���ȷ������

��ACI �༭��رգ��޸ĵ� ACI �ڡ�ACI ���������г�

ɾ�� ACI

Ҫɾ�� ACI��

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ�������еĶ�����Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ���

�����ʿ��ƹ�������ڽ���ʾ��4��������ڸ���Ŀ�� ACI �б?

�ڡ����ʿ��ƹ�������ڣ�ѡ����Ҫɾ��� ACI��
����ɾ��

�� ACI �����ڡ����ʿ��ƹ��������г�

---

���ʿ����÷�ʾ��

�������ṩ��ʾ��˵����һ���鹹�� ISP ��˾ example.com ���ʵ������ʿ��Ʋ��ԡ�����ʾ��������δӿ���̨��ʹ�� LDIF �ļ�ִ�и�����

Example.com ��ҵ�����ṩ Web �йܷ���� Internet ���ʡ�Example.com �� Web �йܷ����һ�������йܿͻ���˾��Ŀ¼��Example.com ʵ���йܲ����ֹ���}���еȹ�ģ�Ĺ�˾ Company333 �� Company999 ��Ŀ¼��������൥���û��ṩ Internet ���ʡ�

������ example.com ��Ҫʵʩ�ķ��ʿ��ƹ���

Ϊ example.com ��Ա���������� example.com ��Ķ�ȡ������ͱȽϵ��������Ȩ�ޣ������������������ʡ�����
���� example.com Ա������ homeTelephoneNumber��homeAddress ֮��ĸ�����Ϣ��д�����Ȩ�ޣ������������Ը�����Ŀ��дȨ�ޡ�����
���� example.com Ա��������Ŀ����ӳ�ijЩ�ؼ��ɫ֮����κν�ɫ��Ȩ�ޣ�����������ƶԹؼ��ɫ�ķ���Ȩ�ޡ�����
���� example.com Human Resources ��� People ��֧�е���Ŀ���в��������Ȩ�ޣ��������������Ժ�׺����ȫ����Ȩ�ޡ�����
�������� example.com Ա����Ŀ¼�� Social Committee ��֧�´�������Ŀ��Ȩ�ޣ��Լ�ɾ����ӵ�е���Ŀ��Ȩ�ޣ��������������Ӻ�ɾ������Ŀ��Ȩ�ޡ�����
�������� example.com Ա���������Լ���ӵ�Ŀ¼�� Social Committee ��֧�µ�����Ŀ��Ȩ�ޣ�������������û���������ӻ�ɾ�������?����
���� Company333 �� Company999 ��Ŀ¼����Ա����ɫ����Ŀ¼�������Ǹ��Եķ�֧�ķ���Ȩ������������ SSL ��֤��ʱ����������ƣ��Լ�ָ����λ��֮���ijЩ���������������������ɫ���������Ȩ������
���赥���û������Լ�����Ŀ�ķ���Ȩ�������������Ը�����Ŀ��дȨ�ޡ�����
�ܾ���û��������Լ���Ŀ�еļ�����Ϣ�ķ���Ȩ����������ܾ���ʡ�����
���������Ե����û�������������Ȩ���ر������г���û����⡣���˲���Ŀ¼�����Ƿ;�ǽ�ⲿ�Ĵ�������������һ�����һ�Ρ��������������������ʡ�����ʹ�ù���������Ŀ�ꡱ��

�����������

�����Ŀ¼���������еģ�������������ط���һ���׺�Ա��ȡ�������Ƚϡ����磬�����������һ����ҪԱ���ܹ��������ҵ��ԱĿ¼������绰�������������Ҫ������ЩȨ�ޡ��� example.com �ڲ��������������� ACI ������ example.com�� ʾ���н���˵��

��Ϊһ�� ISP��example.com ��ϣ��ͨ��һ�����ɷ��ʵĹ��õ绰��4���������û�֪ͨjϵ��Ϣ���ⲿ���� ACI �������=硱ʾ���н���˵��

ACI ������ example.com��

�� LDIF �У�Ҫ�� example.com Ա���������� example.com ��Ķ�ȡ������ͱȽ�Ȩ�ޣ�����д��������䣺

aci: (targetattr !="userPassword")(version 3.0; acl "Anonymous
 example"; allow (read, search, compare)
 userdn= "ldap:///anyone" and dns="*.example.com";)

��ʾ����� aci ����ӵ� dc=example,dc=com ��Ŀ��ע�⣬userPassword �����Ѵ� ACI �ķ�Χ���ų�

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����е� example.com �ڵ㣬���ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����롰���� example.com������������û��Ƿ���ʾ�ڱ��������Ȩ�޵��û��б��С�
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�С���ȡ�������Ƚϡ��͡�����Ȩ�ޡ��ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=example,dc=com ��׺�������Ա��У���λ userPassword ���Բ�����Ӧ�ĸ�ѡ��

��������ѡ��Ӧ�ñ�ѡ�С�������ơ������԰���ĸ˳����֯�����б?��������ñȽ����ס�

�ڡ����ѡ��ϵ�����ӡ������� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
������ʿ��Ʊ༭������еġ�ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

ACI �������=硱

�� LDIF �У�Ҫ���������Ե����û�����Ķ�ȡ��������ʣ���ܾ��δ�г���û�����Ϣ���ʣ�����д��������䣺

aci: (targetfilter= "(!(unlistedSubscriber=yes))")
 (targetattr="homePostalAddress || homePhone || mail")
 (version 3.0; acl "Anonymous World"; allow (read, search)
 userdn="ldap:///anyone";)

��ʾ����� ACI ����ӵ� ou=subscribers,dc=example, dc=com ��Ŀ��������ÿһ���û���Ŀ�����п�������Ϊ yes �� no �� unlistedSubscriber ���ԡ�Ŀ�궨��ɸѡ����ڴ�����ֵ��δ�г���û����йع����������ϸ��Ϣ���������ʹ�ù���������Ŀ�ꡱ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µġ��û�����Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰�����=硱����������û��Ƿ���ʾ�ڱ��������Ȩ�޵��û��б��С�
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�ж�ȡ������Ȩ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=subscribers, dc=example,dc=com ��׺��
�ڡ�����Ŀ���ֶεĹ������У��������й�����

(!(unlistedSubscriber=yes))

�����Ա��У�ѡ�� homePhone��homePostalAddress �� mail ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

����Ը�����Ŀ��дȨ��

���Ŀ¼����Աϣ�������ڲ��û�������Լ�����Ŀ�е�ijЩ���Զ����������ԡ�example.com ��Ŀ¼����Աϣ�������û�������Լ��Ŀ����ͥ�绰���룬�Լ���ͥ��ַ�����������������κ���Ϣ���ⲿ���� ACI ��д�� example.com��ʾ���н���˵��

example.com �IJ��Ի��������ǵ��û����� example.com �����Լ��ĸ�����Ϣ��ǰ����������Ŀ¼��b SSL l�ӡ��ⲿ���� ACI ��д���û���ʾ���н���˵��

ACI ��� example.com��

ע	ͨ�����ô�Ȩ�ޣ��������û�ɾ������ֵ��Ȩ�ޡ�

�� LDIF �У�Ҫ���� example.com ��Ա���¿����ͥ�绰����ͼ�ͥ��ַ��Ȩ�ޣ�����д��������䣺

aci: (targetattr="userPassword || homePhone ||
 homePostalAddress")(version 3.0; acl "Write example.com";
 allow (write) userdn="ldap:///self" and dns="*.example.com";)

��ʾ����� ACI ����ӵ� ou=People,dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����е� ou=People,dc=example,dc=com ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ���ʿ��ƹ�����
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰д�� example.com�����ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

��������������Ϊ����Ȩ�ޣ������������б���ѡ���Լ���
������ӡ���ť���ڱ��������Ȩ�޵��û��б����г��Լ���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ������ ou=People,dc=example,dc=com ���롰Ŀ��Ŀ¼��Ŀ���ֶ��С������Ա��У�ѡ�� homePhone��homePostalAddress���Լ� userPassword ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

�ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
������ʿ��Ʊ༭������е�ȷ����

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

ACI ��д���û���

ע	ͨ�����ô�Ȩ�ޣ��������û�ɾ������ֵ��Ȩ�ޡ�

�� LDIF �У�Ҫ���� example.com �û����¿����ͥ�绰�����Ȩ�ޣ�����д��������䣺

aci: (targetattr="userPassword || homePhone")
 (version 3.0; acl "Write Subscribers"; allow (write)
 userdn= "ldap://self" and authmethod="ssl";)

��ʾ����� aci ����ӵ� ou=subscribers,dc=example, dc=com ��Ŀ��

��ע�⣬example.com �û������ж����ͥ��ַ��д�����Ȩ�ޣ���Ϊ���ǿ���ɾ������ԣ��� example.com ��Ҫ����Ϣ���м��ʡ���ˣ���ͥ��ַ�Ƕ�ҵ��ȽϹؼ����Ϣ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����롰д���û������ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

��������������Ϊ����Ȩ�ޣ������������б���ѡ���Լ���
������ӡ���ť���ڱ��������Ȩ�޵��û��б����г��Լ���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ dc=subscribers, dc=example,dc=com ��׺��
������Ŀ�ֶεĹ������У��������й�����

(!(unlistedSubscriber=yes))

�����Ա��У�ѡ�� homePhone��homePostalAddress �� mail ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

���ϣ���û�ʹ�� SSL ������֤����ͨ����ֶ��༭����ť�л����ֶ��༭������ authmethod=ssl ��ӵ� LDIF ��䣬��ʹ�����ʽ���£�

(targetattr="homePostalAddress || homePhone || mail")
 (version 3.0; acl "Write Subscribers"; allow (write)
 (userdn= "ldap:///self") and authmethod="ssl";)

��ע�⣬����һ��l����У�ֻ�dz��ڿɶ��ԲŽ����˲�֡�

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

���ƶԹؼ��ɫ�ķ���Ȩ��

����ʹ��Ŀ¼�еĽ�ɫ�����Ա�ʶ��ҵ�������Ŀ¼�Ĺ��?������Ŀ�Ĺؼ�Ĺ��ܡ�

���磬����ͨ���ʶȫ�=���ҵվ�����ض�ʱ������ڼ����õ�ϵͳ����Ա�Ӽ�4���� superAdmin ��ɫ�����߿��Դ��� First Aid ��ɫ����(���ض�վ������˼�����ѵ�����г�Ա���йش�����ɫ�������Ϣ��������������ɫ����

��ij���ɫ�ṩ���κ�һ����Ȩ�����˹ؼ���ҵ��ҵ����ʱ��Ӧ�ÿ������ƶԸý�ɫ�ķ��ʡ����磬�� example.com����Ա���Խ��� superAdmin ��ɫ֮����κν�ɫ��ӵ��Լ�����Ŀ�С��ⲿ���� ACI ����ɫ��ʾ���н���˵��

ACI ����ɫ��

�� LDIF �У�Ҫ���� example.com ��Ա���� superAdmin ��ɫ֮����κν�ɫ��ӵ������Լ�����Ŀ��Ȩ�ޣ�����д��������䣺

aci: (targetattr="*") (targattrfilters="add=nsRoleDN:
 (nsRoleDN !="cn=superAdmin, dc=example, dc=com")")
 (version 3.0; acl "Roles"; allow (write)
 userdn= "ldap:///self" and dns="*.example.com";)

��ʾ����� ACI ����ӵ� ou=People,dc=example, dc=com ��Ŀ�С�

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����е� example.com �ڵ㣬���ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰��ɫ�����ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

�ڡ�����û����顱�Ի����н�������������Ϊ����Ȩ�ޣ������������б���ѡ���Լ���
������ӡ���ť���ڱ��������Ȩ�޵��û��б����г��Լ���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
ҪΪ��ɫ��������ֵ�Ĺ������ͨ����ֶ��༭����ť�л����ֶ��༭��������������ӵ� LDIF ���Ŀ�ʼ��

(targattrfilters="add=nsRoleDN:
 (nsRoleDN != "cn=superAdmin, dc=example,dc=com")")

LDIF ������ʽӦ�����£�

(targetattr="*") (targattrfilters="add=nsRoleDN:
 (nsRoleDN != "cn=superAdmin, dc=example,dc=com")")
 (target = "ldap:///dc=example,dc=com")
 (version 3.0; acl "Roles"; allow (write)
 (userdn = "ldap:///self") and (dns="*.example.com");)

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

������Ժ�׺����ȫ����Ȩ��

�����Ŀ¼�������ڱ�ʶijЩ��ҵ���ܵ��顣���Ը���Щ����������Ŀ¼�򲿷�Ŀ¼����ȫ����Ȩ�ޡ�ͨ�������Ӧ�÷���Ȩ�ޣ����Ա���ֱ��Ϊÿ���Ա���÷���Ȩ�ޡ��෴������ֻͨ���û���ӵ�����4������������Щ����Ȩ�ޡ�

���磬��ʹ�õ��Ͱ�װ��̰�װ Directory Server ʱ��Ĭ������½�������Ŀ¼������ȫ����Ȩ�޵� Administrators �顣

�� example.com��Human Resources �鱻�����Ŀ¼�� ou=People ��֧����ȫ����Ȩ����ʹ���ǿ��Ը��¹�ԱĿ¼���ⲿ���� ACI "HR" ʾ���н���˵��

ACI "HR"

�� LDIF �У�Ҫ���� HR ���Ŀ¼�Ĺ�Ա��֧������Ȩ�ޣ�����ʹ��������䣺

aci: (targetattr="*") (version 3.0; acl "HR"; allow (all)
 userdn= "ldap:///cn=HRgroup,ou=People,dc=example,dc=com";)

��ʾ����� ACI ����ӵ� ou=People,dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ� example.com-people ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵ� ��ACI ��ơ��ֶ��У����� "HR"���ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

��������������Ϊ�û����飬���������ֶ��м��� "HRgroup"��

��ʾ������Ѿ������� HR ����ɫ���й���ͽ�ɫ����ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ��

������ӡ���ť���ڱ��������Ȩ�޵��û��б����г� HR �顣
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�����ȫ��ѡ�С���ť��

�����Ȩ����������и�ѡ�򶼱�ѡ�С�

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

������Ӻ�ɾ������Ŀ��Ȩ��

ijЩ��֯ϣ�������Ա�����д�����Ŀ��������������������ǵ�Ч�ʣ�������������������ҵ�Ļ�f��

���磬�� example.com����һ���Ծ�����ίԱ�ᣬ�ɸ��־��ֲ���ɣ�������Ӿ����ѩ����ɫ���ݵȡ��κ� example.com ��Ա�����Դ���һ�����¾��ֲ�������Ŀ���ⲿ���� ACI �������顱ʾ���н���˵���κ� example.com ��Ա�����Գ�Ϊ��Щ���е�ijһ����ij�Ա���ⲿ�����������û���������ӻ�ɾ�������?�µ� ACI �����Ա���н�����˵��ֻ����������߲����޸Ļ�ɾ������Ŀ���ⲿ���� ACI ��ɾ���顱ʾ���н���˵��

ACI �������顱

�� LDIF �У�Ҫ���� example.com ��Ա�� ou=Social Committee ��֧�´�������Ŀ��Ȩ�ޣ�����д��������䣺

aci: (target="ldap:///ou=social committee,dc=example,dc=com")
 (targetattr="*")(targattrfilters="add=objectClass:
 (|(objectClass=groupOfNames)(objectClass=top))")
 (version 3.0; acl "Create Group"; allow (read,search,add)
 userdn= "ldap:///uid=*,ou=People,dc=example,dc=com")
 and dns="*.example.com";)

ע	�� ACI ������дȨ�ޣ�����ζ����Ŀ�������޷��޸���Ŀ�� ���ڷ������ں�̨��� "top" ֵ�������Ҫ�� targattrfilters �ؼ�����ָ�� objectclass=top��

��ʾ����� ACI ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ� Social Committee ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰�����顱���ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

��������������Ϊ����Ȩ�ޣ������������б���ѡ�����о�����֤���û���
������ӡ���ť���г��������Ȩ�޵��û��б��е����о�����֤���û���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ�ж�ȡ���������ӵĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=social committee, dc=example,dc=com ��׺��
�ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� DNS ���������ֶΣ����� *.example.com������ȷ�������رնԻ���
Ҫ�����������Աֻ��������������Ŀ�Ļ���ֵ�Ĺ�������ͨ����ֶ��༭����ť�л����ֶ��༭��������������ӵ� LDIF ���Ŀ�ʼ��

(targattrfilters="add=objectClass:(objectClass=groupOfNames)
 |(objectClass=top)")

LDIF ������ʽӦ�����£�

(targetattr = "*") (targattrfilters="add=objectClass:(objectClass=groupOfNames)
 |(objectClass=top)") (target="ldap:///ou=social  committee,dc=example,dc=com) (version 3.0; acl "Create Group";
 allow (read,search,add) (userdn= "ldap:///all") and
 (dns="*.example.com"); )

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

ACI ��ɾ���顱

�� LDIF �У�Ҫ���� example.com ��Ա�� ou=Social Committee ��֧���޸Ļ�ɾ��������ӵ�е�����Ŀ��Ȩ�ޣ�����д��������䣺

aci: (target="ou=social committee,dc=example,dc=com)
 (targetattr = "*")
 (targattrfilters="del=objectClass:(objectClass=groupOfNames)")
 (version 3.0; acl "Delete Group"; allow (write,delete)
 userattr="owner#GROUPDN";)

��ʾ����� aci ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��

ʹ�ÿ���̨���Ǵ����� ACI ����Ч��ʽ����Ϊ����ʹ���ֶ��༭ģʽ����Ŀ��������Լ�����������Ȩ��

���������ɫ���������Ȩ

���������£���������ɫ��Ŀ¼����Ȩ����ʱ����ϣ��ȷ����ֹ��Щ��Ȩ����ͼ��ð����Ȩ�û��������ߵ��á���ˣ����������£���������ɫ�ؼ����Ȩ�ķ��ʿ��ƹ���ͨ������������j��

���磬example.com �Ѿ�Ϊ���йܵ�ÿ��˾��Company333 �� Company999������ Directory Administrator ��ɫ����ϣ����Щ��˾�ܹ��������Լ�����ݣ���ʵ���Լ��ķ��ʿ��ƹ���ͬʱ��ֹ�����ߡ���ˣ�Company333 �� Company999 ���ж�Ŀ¼�������Ǹ��Եķ�֧����ȫ����Ȩ�ޣ�ǰ�����������������

ͨ�� SSL ʹ��֤����֤l��
������ 8 ������� 6 ��֮�䣬����һ��������������ʣ��Լ�
ÿ��˾��ָ�� IP ��ַ������ʡ�

��Щ�����ÿ��˾�ĵ��� ACI��ACI "Company333"�� ACI "Company999"������ʾ��������Щ ACI ��������ͬ�������ʾ��ֻ˵���� "Company333"��

ACI "Company333"

�� LDIF �У�Ҫ��������������� Company333 ��Ŀ¼�����Ǹ��Եķ�֧����ȫ����Ȩ������д��������䣺

aci: (target="ou=Company333,ou=corporate-clients,dc=example,dc=com")
 (targetattr = "*") (version 3.0; acl "Company333"; allow (all)
 (roledn="ldap:///cn=DirectoryAdmin,ou=Company333,
 ou=corporate-clients,dc=example,dc=com") and (authmethod="ssl")
 and (dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and
 timeofday <= "1800") and (ip="255.255.123.234"); )

��ʾ����� ACI ����ӵ� ou=Company333, ou=corporate-clients,dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ� Company333 ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����� "Company333"���ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

��������������Ϊ�û����飬���������ֶ��м��� DirectoryAdmin��

��ʾ������Ѿ��� DirectoryAdmin �� cn �����˹���Ա��ɫ��

������ӡ���ť���ڱ��������Ȩ�޵��û��б����г����Ա��ɫ��
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�����ȫ��ѡ�С���ť��
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=Company333,ou=corporate-clients,dc=example,dc=com ��׺��
�ڡ����ѡ��ϣ�������ӡ���ť����ʾ�������������Ի����� IP ��ַ���������ֶΣ����� 255.255.123.234������ȷ�������رնԻ���

IP ��ַ������������Ч IP ��ַ��Company333 ����Ա����4l�ӵ� example.com Ŀ¼��

�ڡ�ʱ�䡱ѡ��ϣ�ѡ���Ӧ������һ�������ģ��Լ����� 8 �㵽���� 6 ���ʱ��顣

���·�����ʾһ����Ϣ��ָ����ѡ���ʱ��顣

Ҫǿ�ƴ� Company333 ����Ա���� SSL ��֤����ͨ����ֶ��༭����ť4�л����ֶ��༭��������������ӵ� LDIF ����ĩβ��

and (authmethod="ssl")

LDIF ���Ӧ�����ڣ�

aci: (targetattr = "*")(target="ou=Company333,
 ou=corporate-clients,dc=example,dc=com") (version 3.0; acl
 "Company333"; allow (all) (roledn="ldap:///cn=DirectoryAdmin,
 ou=Company333,ou=corporate-clients, dc=example,dc=com") and
 (dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and
 timeofday <= "1800") and (ip="255.255.123.234") and
 (authmethod="ssl"); )

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

�ܾ����

���Ŀ¼�����˶�ҵ��ؼ����Ϣ��������ر�ϣ��ܾ����ķ��ʡ�

���磬example.com ϣ�������û����ܹ���ȡ�����Լ�����Ŀ�µ�����l��ʱ����ʻ����֮��ļ�����Ϣ������ȷϣ��ܾ�Ը���Ϣ��д����ʡ��ⲿ�ֱַ��� ACI ��������Ϣ��ȡ���� ACI ��������Ϣ�ܾ��н���˵��

ACI ��������Ϣ��ȡ��

�� LDIF �У�Ҫ�����û���ȡ�����Լ�����Ŀ�м�����Ϣ��Ȩ�ޣ�����д��������䣺

aci: (targetattr="connectionTime || accountBalance")
 (version 3.0; acl "Billing Info Read"; allow (search,read)
 userdn="ldap:///self";)

��ʾ������Ѿ��ڼܹ��д�����ص����ԣ����� ACI ����ӵ� ou=subscribers,dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰������Ϣ��ȡ�����ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

�ڡ�����û����顱�Ի����н�������������Ϊ����Ȩ�ޣ������������б���ѡ���Լ���
������ӡ���ť���ڱ��������Ȩ�޵��û��б����г��Լ���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ������Ͷ�ȡȨ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=subscribers, dc=example,dc=com ��׺�������Ա��У�ѡ�� connectionTime �� accountBalance ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

��ʾ��������Ѿ��� connectionTime �� accountBalance ������ӵ��ܹ���

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

ACI ��������Ϣ�ܾ�

�� LDIF �У�Ҫ�ܾ��û��޸������Լ�����Ŀ�м�����Ϣ��Ȩ�ޣ�����д��������䣺

aci: (targetattr="connectionTime || accountBalance")
 (version 3.0; acl "Billing Info Deny";
 deny (write) userdn="ldap:///self";)

��ʾ������Ѿ��ڼܹ��д�����ص����ԣ����� ACI ����ӵ� ou=subscribers,dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ��û���Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰������Ϣ�ܾ��ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

�ڡ�����û����顱�Ի����н�������������Ϊ����Ȩ�ޣ������������б���ѡ���Լ���
������ӡ���ť���ڱ��������Ȩ�޵��û��б����г��Լ���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ��дȨ�޵ĸ�ѡ��ȷ������ѡ�򶼱����
�����ֶ��༭����ť������ʾ�� LDIF ����У��� allow ���Ϊ deny��
�ڡ�Ŀ�ꡱѡ��ϣ��������Ŀ�����ڡ�Ŀ��Ŀ¼��Ŀ���ֶ�����ʾ ou=subscribers, dc=example,dc=com ��׺�������Ա��У�ѡ�� connectionTime �� accountBalance ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

��ʾ��������Ѿ��� connectionTime �� accountBalance ������ӵ��ܹ���

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

ʹ�ù���������Ŀ��

���ϣ�����÷��ʿ��ƣ�����Է�ɢ��Ŀ¼�е������Ŀ���з��ʣ������ϣ��ʹ�ù���������Ŀ�ꡣ���ס���������������ֱ��ָ��Ҫ��������ʵĶ���������������������ܾ�Դ������ķ��ʣ��ر�����Ŀ¼��ñȽϸ���ʱ�����⣬��������ܻ�ʹ���Ŀ¼�ڵķ��ʿ��������ñȽ�'�ѡ�

�����û���������ӻ�ɾ��������

���Ŀ¼���� ACI�������û���������ӻ�ɾ���������?���磬����������û����ʼ��б���Ӻ�ɾ���������������õġ�

�� example.com����Ա���Խ������Լ���ӵ� ou=social committee �����µ��κ�����Ŀ���ⲿ���� ACI �����Ա��ʾ���н���˵��

ACI �����Ա��

�� LDIF �У�Ҫ���� example.com ��Ա��һ��������ӻ�ɾ�������Լ���Ȩ�ޣ�����д��������䣺

aci: (targettattr="member")(version 3.0; acl "Group Members";
 allow (selfwrite)
 (userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") ;)

��ʾ����� ACI ����ӵ� ou=social committee, dc=example,dc=com ��Ŀ��

����ͨ��ִ�����²���ӿ���̨���ô�Ȩ�ޣ�

�ڡ�Ŀ¼��ѡ��ϣ��Ҽ���󵼺����� example.com �ڵ��µ� People ��Ŀ�����ӵ���˵���ѡ�����÷���Ȩ�ޡ�4��ʾ�����ʿ��ƹ������
�����½�������ʾ�����ʿ��Ʊ༭���
�ڡ��û�/�顱ѡ��ϵġ�ACI ��ơ��ֶ��У����롰���Ա�����ڱ��������Ȩ�޵��û��б��У�ִ�����²���
ѡ��ɾ�������û���Ȼ�󵥻���ӡ���

��ʾ������û����顱�Ի���

�ڡ�����û����顱�Ի����н�������������Ϊ����Ȩ�ޣ������������б���ѡ�����о�����֤���û���
������ӡ���ť���г��������Ȩ�޵��û��б��е����о�����֤���û���
����ȷ�������رա�����û����顱�Ի���
�ڡ�Ȩ�ޡ�ѡ��ϣ�ѡ������д��ĸ�ѡ��ȷ������ѡ�򶼱����
�ڡ�Ŀ�ꡱѡ��ϣ���Ŀ��Ŀ¼��Ŀ���ֶ��м��� dc=example,dc=com ��׺�������Ա��У�ѡ�� member ���Եĸ�ѡ��

��������ѡ��Ӧ�ñ��������һ���ѡ�С���ť���������������Եĸ�ѡ��Ȼ�󵥻���ơ����ⰴ��ĸ˳����֯���ǣ�����ѡ���ʵ������ԣ���������ñȽ����ɡ�

����ȷ������

�� ACI ����ӵ������ʿ��ƹ�����������г�� ACI �С�

Ϊ��ŵ� DN ����Ȩ��

��ŵ� DN ��Ҫ�� LDIF ACI ����н������⴦�?�� ACI ����Ŀ��Ͱ󶨹��򲿷֣����ű���Ҫ�õ���б�� (\) ����ת�塣�����ʾ��˵���˴��﷨��

dn: o=example.com Bolivia\, S.A.
objectClass: top
objectClass: organization
aci: (target="ldap:///o=example.com Bolivia\,S.A.")
 (targetattr="*") (version 3.0; acl "aci 2"; allow (all)
 groupdn = "ldap:///cn=Directory Administrators,
 o=example.com Bolivia\, S.A.";)

������Ȩ ACI ʾ��

������Ȩ��������֤��һ��������ʽ��ʹ�����Լ�����ݰ󶨵�Ŀ¼���û�ͨ�������Ȩ��������һ���û���Ȩ�ޡ�

���ڴ�ʾ����裺

�ͻ���Ӧ�ó���İ� DN �� uid=MoneyWizAcctSoftware, ou=Applications,dc=example,dc=com��
�ͻ���Ӧ�ó������������з��ʵ�Ŀ�������� ou=Accounting,dc=example,dc=com��
Ŀ¼���Ѿ����ھ��ж� ou=Accounting,dc=example,dc=com �������Ȩ�޵� Accounting Administrator��

Ϊ��ʹ�ͻ���Ӧ�ó����ö� Accounting ����ķ���Ȩ��ʹ���� Accounting Administrator ��ͬ�ķ���Ȩ�ޣ���

Accounting Administrator ������ж� ou=Accounting,dc=example,dc=com ����ķ���Ȩ�ޡ����磬����� ACI ������Ȩ������ Accounting Administrator ��Ŀ��

aci: (target="ldap:///ou=Accounting,dc=example,dc=com")
 (targetattr="*") (version 3.0; acl "allowAll-AcctAdmin"; allow
 (all) userdn="ldap:///dn:uid=AcctAdministrator,ou=Administrators,
 dc=example,dc=com";)

Ŀ¼�б���������� ACI ��ͻ���Ӧ�ó����������Ȩ�ޣ�

aci: (target="ldap:///ou=Accounting,dc=example,dc=com")
 (targetattr="*") (version 3.0; acl "allowproxy-
 accountingsoftware"; allow (proxy) userdn=
 "ldap:///dn:uid=MoneyWizAcctSoftware,ou=Applications,
 dc=example,dc=com";)

���˴� ACI��MoneyWizAcctSoftware �ͻ���Ӧ�ó�����԰󶨵�Ŀ¼��������Ҫ���� DN ����Ȩ�޵� LDAP ������� ldapsearch �� ldapmodify��

������ʾ���У����ͻ���ϣ��ִ�� ldapsearch ����������(���п��ƣ�

ldapsearch \
-D "uid=MoneyWizAcctSoftware,ou=Applications,dc=example,dc=com"\
-w password\
-y "uid=AcctAdministrator,ou=Administrators,dc=example,dc=com"\ ...

��ע�⣬�ͻ�����Ϊ������󶨣��������������Ŀ��Ȩ�ޡ��ͻ�����Ҫ������Ŀ�Ŀ��

ע	����ʹ��Ŀ¼����Ա�� DN ��Ϊ���� DN��Ҳ���ܽ�����Ȩ������Ŀ¼����Ա�����⣬��� Directory Server ��ͬһ�󶨲����н��ն�������֤���ƣ������ͻ���Ӧ�ó��򷵻�һ����󣬰󶨳���ʧ�ܡ�

---

�鿴��ЧȨ��

ά��Ŀ¼����Ŀ�ķ��ʲ���ʱ������˽�������� ACI ��ȫ�ԵĽ��dz����á�Directory Server ʹ������9����е� ACI������������Ϊ���û��������Ը���Ŀ����ЧȨ�ޡ�

Directory Server ����Ӧ���ܰ�(����������еġ������ЧȨ�ޡ����ơ��Դ˿��Ƶ���Ӧ�����������з����й���Ŀ�����Ե���ЧȨ����Ϣ���˶�����Ϣ��(ÿ����Ŀ�Լ�ÿ����Ŀ�е�ÿ�����ԵĶ�ȡ��д��Ȩ�ޡ���������İ� DN ������ DN������Ҫ����ЩȨ�ޣ��������Ա����Ŀ¼�û���Ȩ�ޡ�

����	�鿴��ЧȨ�ޱ���Ӧ�����ܱ���������Ӧ���Ƶ�Ŀ¼����Ϊ aclRights �� aclRightsInfo ���Դ�����һ���� ACI ������Ŀ¼�û��Դ���Ϣ�ķ��ʡ�

��Ч��Ȩ�޹�����5�� LDAP ���ơ�Ҫ�鿴t�Ӻ�׺�ϵ���ЧȨ�ޣ�������t�Ӳ��������ô˿��ƣ���������t�Ӳ��ԡ������������ȷ�����ڰ󶨵�Զ�̷�����Ĵ������Ҳ�����������ЧȨ�����ԡ�

ʹ�û����ЧȨ�޿���

ͨ��ʹ�ô��� -J "1.3.6.1.4.1.42.2.27.9.5.2" ѡ��� ldapsearch ����4ָ���������ЧȨ�ޡ����ơ�Ĭ������£��ÿ��ƽ����������з�����Ŀ�������ϰ� DN ��Ŀ����ЧȨ�ޡ�ʹ�������ѡ����Ĭ����Ϊ��

-c "dn:DN"����������ʾ��� DN �󶨵��û�����ЧȨ�ޡ���ѡ���������Ա�����һ���û�����ЧȨ�ޡ�ѡ�� -c "dn:"����ʾ������֤����ЧȨ�ޡ�
-X "attributeName ..."����������(ָ�����Ե���ЧȨ�ޡ�ʹ�ô�ѡ��ָ�������������������е����ԡ����磬ʹ�ô�ѡ��ȷ���û��Ƿ����Ȩ�ޣ������Ŀ�е�ǰ�����ڵ����ԡ�

ʹ�� -c �� -X �����е�ijһ���}��ʱ�������˾��С������ЧȨ�ޡ����� OID �� -J ѡ���˲���ָ�������Ϊ��ЧȨ�޿���ָ���˿�ֵ�������ǰ�û�Ȩ�޺��浱ǰ ldapsearch ����ص����Ժ���Ŀ��Ȩ�ޡ�

Ȼ�����ѡ��ϣ��鿴����Ϣ���ͣ���Ȩ�ޣ����ǽ�����������ܾ���ЩȨ�޵ıȽ���ϸ�ļ�¼��Ϣ����Ϣ��������ͨ��ֱ���� aclRights �� aclRightsInfo 4ȷ���ģ���ΪҪ���������з��ص����ԡ���������}�����Խ���ȫ������ЧȨ����Ϣ�����ܼ�Ȩ�޴�����ϸ��־��¼��Ϣ�е���Ϣ�Ƕ���ġ�

ע	aclRights �� aclRightsInfo ���Ծ�������������Ե���Ϊ�����Dz��洢��Ŀ¼�У���˳����ȷ�������ǽ������ء���Щ�������� Directory Server ��Ӧ�������ЧȨ�ޡ�������ɵġ� ��ˣ���Щ������û�����Կ������κ����͵Ĺ��������������С�

��ЧȨ�޹��ܴ������������û��̳�Ӱ����ʿ��Ƶ����������һ���е�ȷ��ʱ�䡢��֤������������ַ����ƣ���

�����ʾ����ʾ���û���ο��Բ鿴����Ŀ¼�е�Ȩ�ޡ��ڽ���У�1 ��ʾ������Ȩ�ޣ�0 ��ʾ�ܾ���Ȩ�ޣ�

ldapsearch -J "1.3.6.1.4.1.42.2.27.9.5.2" \
           -h rousseau.example.com -p 389 \
           -D "uid=cfuente,ou=People,dc=example,dc=com" \
           -w password -b "dc=example,dc=com" \
           "(objectclass=*)" aclRights

dn: dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: ou=Groups, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: cn=Accounting Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: cn=HR Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: uid=bjensen,ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: uid=cfuente, ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:1,proxy:0

�˽���� Carla Fuente ��ʾ��Ŀ¼�е���Ŀ���ڴˣ������پ��ж�ȡȨ�ޣ����ҿ����޸����Լ�����Ŀ����ЧȨ�޿��Ʋ��ܱܿ���ķ���Ȩ�ޣ�����û����޷���������û�ж�ȡȨ�޵���Ŀ���������ʾ���У�Ŀ¼����Ա���Կ��� Carla Fuente û�ж�ȡȨ�޵���Ŀ��

ldapsearch -h rousseau.example.com -p 389 \
           -D "cn=Directory Manager" -w password \
           -c "dn: uid=cfuente,ou=People,dc=example,dc=com" \
           -b "dc=example,dc=com" \
           "(objectclass=*)" aclRights

dn: dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: ou=Groups, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: cn=Directory Administrators, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:0,write:0,proxy:0

dn: ou=Special Users,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:0,write:0,proxy:0

dn: ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: cn=Accounting Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: cn=HR Managers,ou=groups,dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: uid=bjensen,ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

dn: uid=cfuente, ou=People, dc=example,dc=com
aclRights;entryLevel: add:0,delete:0,read:1,write:1,proxy:0

�����������У�Ŀ¼����Ա���Կ��� Carla Fuente ���v����ܲ鿴��Ŀ¼���������û���Ŀ¼����Ա��֧���������ʾ���У�Ŀ¼����Ա���Կ��� Carla Fuente �����޸���������Ŀ�е� mail �� manager ���ԣ�

ldapsearch -h rousseau.example.com -p 389 \
           -D "cn=Directory Manager" -w password \
           -c "dn: uid=cfuente,ou=People,dc=example,dc=com" \
           -b "dc=example,dc=com" \
           "(uid=cfuente)" aclRights "*"

version: 1
dn: uid=cfuente, ou=People, dc=example,dc=com

aclRights;attributeLevel;mail: search:1,read:1,compare:1,
 write:0,selfwrite_add:0,selfwrite_delete:0,proxy:0
mail: cfuente@example.com

aclRights;attributeLevel;uid: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
uid: cfuente

aclRights;attributeLevel;givenName: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
givenName: Carla

aclRights;attributeLevel;sn: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
sn: Fuente

aclRights;attributeLevel;cn: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
cn: Carla Fuente

aclRights;attributeLevel;userPassword: search:0,read:0,
 compare:0,write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
userPassword: {SSHA}wnbWHIq2HPiY/5ECwe6MWBGx2KMiZ8JmjF80Ow==

aclRights;attributeLevel;manager: search:1,read:1,compare:1,
 write:0,selfwrite_add:0,selfwrite_delete:0,proxy:0
manager: uid=bjensen,ou=People,dc=example,dc=com

aclRights;attributeLevel;telephoneNumber: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
telephoneNumber: (234) 555-7898

aclRights;attributeLevel;objectClass: search:1,read:1,compare:1,
 write:1,selfwrite_add:1,selfwrite_delete:1,proxy:0
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetorgperson

aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

�˽���ЧȨ�޽��

���ָ����ѡ��IJ�ͬ����ЧȨ�����󽫷���������Ϣ��

Ȩ����Ϣ
Write��Selfwrite_add �� Selfwrite_delete Ȩ��
��־��¼��Ϣ

Ȩ����Ϣ

��ЧȨ����Ϣ���������������ṩ��

aclRights;entrylevel	�ṩ��Ŀ��Ȩ����Ϣ
aclRights;attributelevel	�ṩ���Լ�Ȩ����Ϣ
aclRightsInfo;entrylevel	�ṩ��Ŀ����־��¼��Ϣ
aclRightsInfo;attributelevel	�ṩ���Լ���־��¼��Ϣ

aclRights �ַ�ĸ�ʽΪ��permission:value(permission:value)*

���ܵ���Ŀ��Ȩ�ް�( add��delete��read��write �� proxy�����ܵ����Լ�Ȩ�ް�( read��search��compare��write��selfwrite_add��selfwrite_delete �� proxy��

��ЩȨ�޵�ֵ����������֮һ��

0��������
1�����
?��Ȩ�޵�����ȡ����������ӡ�ɾ����滻�����Ե�ֵ����� ?���������־��¼��Ϣ��ȷ�������������Ȩ�޵����ɡ�
-��������ص��������������ԣ���˲��ɸ��¡��޸��������Ե�Ψһ;�����޸���ɸ����ԵĻ��ơ�

Write��Selfwrite_add �� Selfwrite_delete Ȩ��

�� Directory Server 5.2 �У�ֻ��д�����Լ�Ȩ�޵�ֵ����Ϊ "?"��������Ӻ�ɾ��Ȩ�ޣ��������Ӻ�ɾ�����Ŀȡ������Ŀ�����Ե�ֵ������Ŀ�� ldapsearch �����ʱ�����������Щ��Ŀ����Ȩ��ֵ��0 �� 1�������Ƿ��� "?"��

��� write Ȩ�޵�ֵΪ 1����������Ӻ�ɾ������ֵ����Ȩ dn ֵ���⣩�� ldapmodify �����Ȩ�ޡ���� write Ȩ�޵�ֵΪ 0����������ӻ�ɾ���κ�ֵ����Ȩ dn ֵ���⣩�� ldapmodify �����Ȩ�ޡ���Ȩ dn ��ֵ��Ȩ�޽���ʽ���� selfwrite Ȩ��֮һ���أ��� selfwrite_add �� selfwrite_delete��

����selfwrite-add �� selfwrite-delete ���Լ�Ȩ���� ACI �����в����ڣ���һ�� ACI ���Խ� selfwrite Ȩ�������û�����ֻ�����޸IJ�������Ȩ�޻�ɾ��Ȩ�ޡ����� selfwrite Ȩ�ޣ������޸ĵ�����ֵ������Ȩ dn������ write Ȩ�޾Ͳ��߱���һ������Ϊд��Ȩ�޵������޸ĵ�����ֵ��δ����ġ�

���˵��ЧȨ��ȡ���� targattrfilters ACI����"?"ֵ�ͱ���Ӧ�ò�����־��¼��Ϣ���˽����Ȩ����ϸ��Ϣ����� write��selfwrite_add �� selfwrite_delete Ȩ��֮����໥��5���������Ը����ԣ��� 6-3 �����������Ȩ�����γɵĿ��ܵ���Ϻ��塣

�� 6-3 ��ЧȨ���໥��5��

write	selfwrite_add	selfwrite_delete	��ЧȨ��˵��
0	0	0	�޷���ӻ�ɾ������Ե��κ�ֵ��
0	0	1	����ɾ����Ȩ dn ��ֵ��
0	1	0	���������Ȩ dn ��ֵ��
0	1	1	������ӻ�ɾ����Ȩ dn ��ֵ��
1	0	0	������ӻ�ɾ����Ȩ dn ֮�������ֵ��
1	0	1	����ɾ����(��Ȩ dn ���ڵ�����ֵ�����ҿ����������Ȩ dn ֮�������ֵ��
1	1	0	���������(��Ȩ dn ���ڵ�����ֵ�����ҿ���ɾ����Ȩ dn ֮�������ֵ��
1	1	1	������ӻ�ɾ������Ե�����ֵ��
?	0	0	�޷���ӻ�ɾ����Ȩ dn ֵ������Ҳ�������ӻ�ɾ������ֵ���й�д��Ȩ�޵Ľ�һ����ϸ��Ϣ���������־��¼��Ϣ��
?	0	1	����ɾ����������Ȩ dn ��ֵ������Ҳ�������ӻ�ɾ������ֵ���й�д��Ȩ�޵Ľ�һ����ϸ��Ϣ���������־��¼��Ϣ��
?	1	0	������ӵ�������ɾ����Ȩ dn ��ֵ������Ҳ�������ӻ�ɾ������ֵ���й�д��Ȩ�޵Ľ�һ����ϸ��Ϣ���������־��¼��Ϣ��
?	1	1	������Ӻ�ɾ����Ȩ dn ��ֵ������Ҳ������޸���ӻ��޸�ɾ������ֵ���й�д��Ȩ�޵Ľ�һ����ϸ��Ϣ���������־��¼��Ϣ��

��־��¼��Ϣ

��ЧȨ����־��¼��Ϣʹ������˽Ⲣ���Է��ʿ���'�ѡ���־��¼��Ϣ�а���ʿ��Ƶ�ժҪ��Ϣ����Ϊ acl_summary�������ָ�������ܾ���ʿ��Ƶ�ԭ�򡣷��ʿ���ժҪ��Ϣ��(�������ݣ�

���?�Ǿܾ����
�����Ȩ��
Ȩ�޵�Ŀ����Ŀ
Ŀ�����Ե����
�����Ȩ�޵�����
�����Ƿ��ɴ��?������ǣ���ָ��������֤ DN
�����ܾ���ʵ�ԭ�򣨶��ڽ��е��Էdz���Ҫ������ 6-4 ���г��˿��ܵ�ԭ��

�� 6-4 ��ЧȨ����־��¼��Ϣԭ����˵��

��־��¼��Ϣԭ��	˵��
no reason available	����������ܾ���ʡ�
no allow acis	û������� ACI����˵��¾ܾ���ʡ�
result cached deny	ʹ�û�����Ϣ���ܾ���ʵľ��
result cached allow	ʹ�û�����Ϣ���������ʵľ��
evaluated allow	ͨ���9� ACI ���������ʵľ��aci ����ư�(����־��Ϣ�С�
evaluated deny	ͨ���9� ACI ���ܾ���ʵľ��aci ����ư�(����־��Ϣ�С�
no acis matched the resource	û������Դ��Ŀ��ƥ��� ACI����˵��¾ܾ���ʡ�
no acis matched the subject	û����������ʿ��Ƶ�����ƥ��� ACI����˵��¾ܾ���ʡ�
allow anyone aci matched anon user	���� userdn = "ldap:///anyone" ����� ACI ���������û����ʡ�
no matching anyone aci for anon user	�Ҳ������� userdn = "ldap:///anyone" ����� ACI����˾ܾ������û����ʡ�
user root	�û��Ǹ� DN��������ʡ�

ע	�������������Dz��ɸ��µģ����Բ����ṩ�������Ե�д��Ȩ���Լ��κ���ص���־��¼�9���Ϣ��

�йؾ�ȷ����־�ļ���ʽ������� Directory Server Administration Reference��

---

�߼����ʿ��ƣ�ʹ�ú� ACI

��ʹ���ظ�Ŀ¼��ṹ����֯�У�����ͨ��ʹ�ú�4�Ż�Ŀ¼��ʹ�õ� ACI ����������Ŀ¼���� ACI ����ʹ�ù�����ʿ��Ʋ��Ը����ɣ����ҿ������ ACI �ڴ�ʹ�õ�Ч�ʡ�

�������ڱ�ʾ ACI �е� DN �� DN ��һ���ֵ�ռλ�����ʹ�ú�4��� ACI Ŀ�겿�֡��󶨹��򲿷ֻ�}���е� DN��ʵ���ϣ��� Directory Server ��ȡһ���� LDAP ����ʱ��ACI ���� LDAP ������ΪĿ�����Դ����ƥ�䣬��ȷ��ƥ������ַ�����У������ƥ�䣬��ʹ��ƥ������ַ�)չ�󶨹���˵ĺ꣬��ͨ���9���)չ�İ󶨹���4ȷ������Դ�ķ���Ȩ�ޡ�

�� ACI ʾ��

ʹ��ʾ����Ը�õؽ���� ACI ���ŵ��Լ�����ʽ��ͼ 6-4 ��ʾ��һ��Ŀ¼������ʹ�ú� ACI �Ǽ��� ACI �������Ч��ʽ��

�ڴ˲�ͼ�У���ע�������ͬ��ṹ (ou=groups,ou=people) ��������ظ�ģʽ����ģʽ����������ظ�����Ϊ example.com Ŀ¼��洢�����к�׺ dc=hostedCompany2,dc=example,dc=com �� dc=hostedCompany3,dc=example,dc=com��

��Ŀ¼����Ӧ�õ� ACI Ҳ�����ظ�ģʽ�����磬����� ACI λ�� dc=hostedCompany1,dc=example,dc=com �ڵ㣺

aci: (targetattr="*")
 (targetfilter=(objectClass=nsManagedDomain))(version 3.0;
 acl "Domain access"; allow (read,search) groupdn=
 "ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany1,
 dc=example,dc=com";)

�� ACI �� DomainAdmins ������� dc=hostedCompany1,dc=example,dc=com ���е��κ���Ŀ�Ķ�ȡ������Ȩ�ޡ�

ͼ 6-4 �� ACI ��ʾ��Ŀ¼��

����� ACI λ�� dc=hostedCompany1,dc=example,dc=com �ڵ㣺

aci: (targetattr="*")
 (targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search)
 groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany1,
 dc=example,dc=com";)

����� ACI λ�� dc=subdomain1,dc=hostedCompany1, dc=example,dc=com �ڵ㣺

aci: (targetattr="*")
 (targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search)
 groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=subdomain1,
 dc=hostedCompany1,dc=example,dc=com";)

����� ACI λ�� dc=hostedCompany2,dc=example,dc=com �ڵ��£�

aci: (targetattr="*")
 (targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search)
 groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=hostedCompany2,
 dc=example,dc=com";)

����� ACI λ�� dc=subdomain1,dc=hostedCompany2, dc=example,dc=com �ڵ㣺

aci: (targetattr="*")
 (targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search)
 groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,
 dc=hostedCompany2,dc=example,dc=com";)

��������ʾ���ĸ� ACI �У�Ψһ����� groupdn �ؼ�����ָ���� DN��ͨ��Ϊ DN ʹ�ú꣬���������� dc=example,dc=com �ڵ����õ��� ACI �滻��Щ ACI���� ACI ����ʽ���£�

aci: (target="ldap:///ou=Groups,($dn),dc=example,dc=com")
 (targetattr="*")(targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search) groupdn=
 "ldap:///cn=DomainAdmins,ou=Groups,[$dn],dc=example,dc=com"; )

��ע�⣬��Ҫ������ǰû��ʹ�õ� target �ؼ��֡�

�������ʾ���У�ACI �������ĸ��һ��Ȼ��������ŵ�������Ŀ¼����ж����ظ�ģʽ�����ء�

�� ACI �﷨

Ϊ�˼򻯱����е����ۣ������ṩ���� userdn��roledn��groupdn �� userattr ��ƾ֤�� ACI �ؼ���ͳ��Ϊ ACI ������������ȷ�� ACI Ӧ�õĶ���

�� ACI ��(�������͵ı��ʽ���滻 DN �� DN ��һ���֣�

($dn)��������Ŀ��ƥ�估��������ֱ���滻��
[$dn]�������滻���������еĶ�� RDN��
($attr.attributeName)�����ڽ� attributeName ���Ե�ֵ��Ŀ����Ŀ�滻�����⡣

�� 6-5 ��ʾ���� ACI ����Щ���ֿ���ʹ�� DN �꣺

�� 6-5 ACI �ؼ����еĺ�

��	ACI �ؼ���
($dn)	target��targetfilter��userdn��roledn��groupdn��userattr
[$dn]	targetfilter��userdn��roledn��groupdn��userattr
($attr.attrName)	userdn��roledn��groupdn��userattr

������������ã�

ʹ�������е� ($dn) �� [$dn] ��ʱ����������� ($dn) ���Ŀ�ꡣ
���Խ������е� ($dn) �꣨������ [$dn]���� ($attr.attrName) ��ϲ���

ƥ��Ŀ���е� ($dn)

ACI ��Ŀ���е� ($dn) ��ͨ���� LDAP �����Ŀ����Ŀ��Ƚ�4ȷ���滻ֵ�����磬�����Ŀ��Ϊ cn=all,ou=groups,dc=subdomain1, dc=hostedCompany1,dc=example,dc=com ��Ŀ�� LDAP ���󣬶���Ŀ��� ACI ������ʾ��

(target="ldap:///ou=Groups,($dn),dc=example,dc=com")

($dn) ���� dc=subdomain1, dc=hostedCompany1ƥ�䡣Ȼ�����ʹ�ô����ַ����� ACI ������滻ֵ��

�滻�����е� ($dn)

�� ACI �����У�($dn) �걻Ŀ����ƥ���ȫ�����ַ����滻�����磺

groupdn="ldap:///cn=DomainAdmins,ou=Groups,($dn),
 dc=example,dc=com"

����

groupdn="ldap:///cn=DomainAdmins,ou=Groups,dc=subdomain1,
 dc=hostedCompany1,dc=example,dc=com"

��)չ��Directory Server ��ѭ��Ĺ���9� ACI ��ȷ���Ƿ��������Ȩ�ޡ�

ע	���׼ ACI ��ͬ��ʹ�ú��滻�� ACI ��һ���б�Ҫ�����Ŀ����Ŀ������Ŀ�ķ���Ȩ�ޡ�ԭ���ǵ�����Ŀ�� DN ��Ŀ��ʱ���滻���ܲ����������ַ��д���һ����Ч DN��

�滻�����е� [$dn]

[$dn] ���滻������ ($dn) ���滻������΢��Щ��ͬ����μ��Ŀ����Դ�� DN��ÿ�ζ���������ߵ� RDN �����ֱ���ҵ�ƥ��Ϊֹ��

���磬��Ŀ��Ϊ cn=all,ou=groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com ����� LDAP �����Լ����� ACI��

aci: (targetattr="*")
 (target="ldap:///ou=Groups,($dn),dc=example,dc=com")
 (version 3.0; acl "Domain access"; allow (read,search)
 groupdn="ldap:///cn=DomainAdmins,ou=Groups,[$dn],
 dc=example,dc=com";)

������������²�����в�����)չ�� ACI��

Ŀ���е� ($dn) ƥ�� dc=subdomain1,dc=hostedCompany1��
�������е� [$dn] �滻Ϊ dc=subdomain1,dc=hostedCompany1��

��������� groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com"��������ڰ� DN �Ǹ���ij�Ա���������Ȩ�����)չֹͣ�����9� ACI������dz�Ա����ù�̼���

�������е� [$dn] �滻Ϊ dc=hostedCompany1��

��������� groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=hostedCompany1,dc=example,dc=com"����Ҫ���� DN �Ƿ�ΪС���Ա������ǣ�ACI ������ȫ�9!�����dz�Ա����)չ����ƥ��ֵ�����һ�� RDN ��ֹͣ���Ҵ� ACI ���9�Ҳ����ֹ��

[$dn] ����ŵ��������ṩ��һ����ʽ���������򼶱�Ĺ���Ա�����Ŀ¼������������ķ���Ȩ�ޡ���ˣ����ڱ����֮��IJ���͹�ϵʮ�����á�

���磬�뿼������ ACI��

aci: (target="ldap:///ou=*,($dn),dc=example,dc=com")
 (targetattr="*")(targetfilter=(objectClass=nsManagedDomain))
 (version 3.0; acl "Domain access"; allow (read,search) groupdn=
 "ldap:///cn=DomainAdmins,ou=Groups,[$dn],dc=example,dc=com";)

������ cn=DomainAdmins,ou=Groups, dc=hostedCompany1,dc=example,dc=com �ij�Ա�� dc=hostedCompany1 ����������ķ���Ȩ��������ڸ���Ĺ���Ա���Է������� ou=people,dc=subdomain1.1,dc=subdomain1��

��ͬʱ��cn=DomainAdmins,ou=Groups, dc=subdomain1.1 �ij�Ա�����ܾ���� ou=people,dc=subdomain1, dc=hostedCompany1 �� ou=people,dc=hostedCompany1 �ڵ㡣

($attr.attrName) �ĺ�ƥ��

($attr.attrname) ��ʼ������ DN �����ⲿ�֡����磬���Զ������� roledn��

roledn = "ldap:///cn=DomainAdmins,($attr.ou),dc=HostedCompany1,
 dc=example,dc=com"

���ڣ���������������������ĿΪĿ��� LDAP ����

dn: cn=Babs Jensen,ou=People,dc=HostedCompany1,dc=example,dc=com
cn: Babs Jensen
sn: Jensen
ou: Sales
...

Ϊ���9� ACI �� roledn ���֣��������ȡ�洢��Ŀ����Ŀ�е� ou ���Ե�ֵ�������������滻��ֵ��)չ�ꡣ�ڸ�ʾ���У�roledn �����·�ʽ)չ��

roledn = "ldap:///cn=DomainAdmins,ou=Sales,dc=HostedCompany1,
 dc=example,dc=com"

Ȼ�� Directory Server ������ ACI �9��㷨�� ACI �����9!�

���ں�������������Ƕ�ֵʱ��ÿ��ֵ������)չ�꣬��ʹ���ṩ�ɹ�ƥ��ĵ�һ��ֵ��

---

���ʿ��ƺ͸���

ACI ����Ϊ��Ŀ�����Դ洢�ģ���ˣ����� ACI ����Ŀ���Ѹ��ƺ�׺����ɲ��֣��� ACI �����κ��������������ơ�

ACI ʼ������Ϊ���� LDAP �����ṩ�����Ŀ¼�������Ͻ����95ġ�����ζ�ţ���ʹ���߷�������յ���������ʱ����صĽ�������������������������Ƿ���Դ��������

---

���ʿ��ƺ�t��

���Ŀ¼��ʹ��t�ӹ��ֲܷ��ڶ��������ϣ�������ڷ��ʿ��������ʹ�õĹؼ��ֻ���ijЩ���ƣ��й���ϸ��Ϣ�������ACI �����ơ���

������֤���û�����t�Ӻ�׺ʱ��������Ὣ���û�����ݷ��͵�Զ�̷�������ʿ���ʼ����Զ�̷������Ͻ����9!���Զ�̷��������95�ÿ�� LDAP ����ʹ�ÿͻ���Ӧ�ó���ͨ���Ѵ������Ȩ�ؼ����д��ݣ���ԭʼ��ݡ�ֻ�е��û���Զ�̷������ϰ�����������ȷ�ķ��ʿ���ʱ�����������Զ�̷������ϻ�óɹ������ʾ��Ҫ��Զ�̷�������ӽ����������Ƶij�����ʿ��ơ��й���ϸ��Ϣ���������ͨ����t�ӵĺ�׺���еķ��ʿ��ơ���

---

��¼���ʿ�����Ϣ

Ҫ��ô�����־���йط��ʿ��Ƶ���Ϣ�����������ʵ�����־�ȼ���

Ҫ�ӿ���̨���ô�����־�ȼ�����ִ�����²���

�� Directory Server Console �Ķ�����Ŀ¼��ѡ��У��Ҽ�� cn=config �ڵ㣬Ȼ��ӵ���˵���ѡ����ͨ�ñ༭����б༭����

��ʾ��ͨ�ñ༭���о��� cn=config ��Ŀ�����ݡ�

���¹�����ֵ�Ե��б?�ҵ� nsslapd-errorlog-level ���ԡ�
�� nsslapd-errorlog-level �ֶ�������ʾ��ֵ���� 128��

���磬�����ʾ��ֵ�� 8192�����Ƶ��ԣ�����Ӧ�ý�����Ϊ 8320���йش�����־�ȼ���������Ϣ������� ��Directory Server Administration Reference����

����ȷ���������ģ����ر�ͨ�ñ༭��

---

�����ڰ汾�ļ�����

Directory Server ���ڰ汾��ʹ�õ�ijЩ ACI �ؼ����� Directory Server 5.2 ���Ѳ���ʹ�á����ǣ�Ϊ��ʵ���������ԣ���Щ�ؼ�������֧�֡���Щ�ؼ��ְ�(��

userdnattr
groupdnattr

��ˣ�����ھɰ湩Ӧ�̷������ʹ���� Directory Server 5.2 ֮�������˸���Э�飬�Ͳ�Ӧ���ڸ��� ACI ʱ���κ����⡣

�������ǽ�����ʹ�� userattr �ؼ��ֵĹ����滻��Щ�ؼ��֣���������ֵƥ��4������ʡ�������

��һ��      Ŀ¼      ����      ��һ��

---

��Ȩ���� 2004 Sun Microsystems, Inc. ����Ȩ����