设置引用并将后缀设置为只读

如果要限制对后缀的访问权限而不完全禁用后缀，则可以修改访问权限以允许只读访问。在这种情况下，必须定义对其他服务器的引用以执行写入操作。此外，还可以同时拒绝读取和写入访问，然后为后缀上的所有操作定义引用。

引用还可用于临时将客户端应用程序指向其他服务器。例如，备份后缀内容时，可能要添加对其他后缀的引用。

如果后缀是复制环境中的使用方，则复制机制将确定引用设置的值。尽管可以手动修改引用设置，但引用在下次复制更新时将被覆盖。有关设置复制引用的信息，请参见执行高级使用方配置。

引用是已标记的 URL，即 LDAP URL，其后可接空格字符和标签。例如：

ldap://phonebook.example.com:389/

或者：

ldap://phonebook.example.com:389/ou=All%20People,dc=example,dc=com

由于空格字符非常重要，因此对于引用的 URL 部分中的任何空格字符，都必须使用 %20 进行转义。

设置引用以使后缀变为只读状态

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

1. 设置引用 URL。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-url:LDAP-URL

   其中 LDAP-URL 是有效的 URL，包含主机名、端口号和目标的 DN。

   例如：

   $ dsconf set-suffix-prop -h host1 -p 1389 dc=example,dc=com \ referral-url:ldap://phonebook.example.com:389/

   可以指定任意数量的 LDAP URL。

2. 设置引用模式，使后缀变为只读状态。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:only-on-write

   要使后缀无法用于读取和写入操作，并为所有请求返回引用，请将 referral-mode 设置为enabled。

3. 只要命令执行成功，后缀即变为只读或不可访问状态，并可返回引用。

4. （可选的）后缀变为可用状态时，请禁用引用，以使后缀再次变为读写状态。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:disabled

   禁用引用时，后缀将自动变为读写状态，除非您通过将后缀的 enabled 属性设置为 off 禁用了此后缀。