動態群組的實作方法

Proxy Server 會在 LDAP 伺服器模式中將動態群組實作為 objectclass=groupOfURLs。一個 groupOfURLs 類別可能沒有或有多個 memberURL 屬性，每個屬性都是說明目錄中一組物件的 LDAP URL。群組成員將是這些物件集的併集。例如，下列群組只包含一個成員 URL：

ldap:///o=mcom.com??sub?(department=marketing)

此範例說明的是在 o=mcom.com 之下由部門為 marketing 的所有物件所組成的集合。LDAP URL 可以包含搜尋庫 DN、範圍及篩選器，但不能包含主機名稱和連接埠。因此，您只能參照同一 LDAP 伺服器上的物件。支援所有範圍。如需有關 LDAP URL 的更多資訊，請參閱建立動態群組的準則。

DN 會自動加入群組中，不必在群組中逐一增加。群組會動態變更，因為每次 ACL 驗證需要群組查詢時，Proxy Server 就會執行 LDAP 伺服器搜尋。ACL 檔案中使用的使用者和群組名稱，與 LDAP 資料庫中物件的 cn 屬性相對應。

Proxy Server 使用 cn 屬性作為 ACL 的群組名稱。

從 ACL 至 LDAP 資料庫的對映在 dbswitch.conf 檔案 (它將 ACL 資料庫名稱與實際 LDAP 資料庫 URL 關聯起來) 和 ACL 檔案 (它定義資料庫與 ACL 的對應關係) 中均有定義。例如，如果您想要讓名為 staff 的群組中的成員身分具有基本存取權限，ACL 程式碼會查找物件類別為 groupOfanything 且 CN 設定為 staff 的物件。此物件可以明確列舉成員 DN (如同靜態群組的 groupOfUniqueNames 一樣) 或指定 LDAP URL (例如，groupOfURLs) 來定義群組的成員。

群組可以是靜態群組和動態群組。群組物件可以同時有 objectclass=groupOfUniqueMembers 和 objectclass=groupOfURLs。因此，uniqueMember 和 memberURL 屬性兩者皆有效。群組的成員身分是靜態和動態成員的併集。