追溯更改日志支持搜索操作。它针对特定搜索(包含以下格式的过滤器)进行了优化:
(&(changeNumber>=X)(changeNumber<=Y)) |
作为一般规则,请勿对追溯更改日志条目执行添加或修改操作。可以删除条目以修整日志大小。只有在修改默认访问控制策略时,才需要对追溯更改日志执行修改操作。
为所有经过验证的用户(userdn=anyone,不要与 userdn=all 的匿名访问相混淆)授予追溯更改日志顶级条目 cn=changelog 的读取、搜索和比较权限。
不授予写入和删除访问权限,但暗中授予目录管理员的除外。
不为匿名用户授予读取访问权限,因为追溯更改日志条目可能包含对敏感信息(如密码)的修改。如果不希望经过验证的用户查看追溯更改日志的内容,您可能需要进一步限制对内容的访问权限。
要修改应用于追溯更改日志的默认访问控制策略,请修改 cn=changelog 条目的 aci 属性。请参见第 7 章,目录服务器访问控制。