限制对“获得有效的权限”控制的访问权限

查看有效权限的操作是一种目录操作，必需对该操作进行保护和适当地限制。

要限制对有效权限信息的访问权限，请修改 getEffectiveRights 属性的默认 ACI。然后为 getEffectiveRightsInfo 属性创建新的 ACI。

例如，以下 ACI 只允许目录管理者组的成员获得有效权限：

aci: (targetattr != "aci")(version 3.0; acl
 "getEffectiveRights"; allow(all) groupdn =
 "ldap:///cn=Directory Administrators,ou=Groups,dc=example,dc=com";)

要获取有效权限信息，您必需具有使用有效权限控制的访问控制权限，并且具有对 aclRights 属性的读取权限。这种双层访问控制提供了可在必要时进一步微调的基本安全性。与代理类似，如果您对某个条目中的 aclRights 属性具有读取访问权限，则可以请求任何人对于该条目及其属性的权限信息。这表明管理资源的用户可以确定具有该资源权限的人员，即使此用户实际上并不管理具有这些权限的人员。

如果请求权限信息的用户没有使用有效权限控制的权限，则此操作将会失败，并返回错误消息。但是，如果请求权限信息的用户具有使用此控制的权限，但没有读取 aclRights 属性的权限，则 aclRights 属性不会出现在返回的条目中。此行为反映了目录服务器的常规搜索行为。