合併和移除 ACI
本小節中列出的 ldif 檔案 (replacement.acis.ldif) 在根字尾處安裝合併的 ACI,並從目錄刪除未使用的 ACI。此 ldif 檔案隨附於位於以下目錄中的 Delegated Administrator︰
da_base/lib/config-templates
將 replacement.acis.ldif 檔案套用至目錄 (使用 ldapmodify) 時,ldapmodify 指令將移除根字尾處的 aci 屬性之所有實例,並用 replacement.acis.ldif 檔案中的 ACI 替代這些 ACI。
因此,該程序最初會從根字尾處移除所有 ACI,並用下面列出的 ACI 集替代它們。如果目錄包含由其他應用程式 (例如,Portal Server) 產生的 ACI,應該將這些 ACI 儲存至檔案,並在套用 replacement.acis.ldif 檔案後將其重新套用到該目錄。
如需有關使用此 ldif 檔案清除 ACI 的說明,請參閱替代 ACI 的步驟。
replacement.acis.ldif 檔案
dn: $rootSuffix
changetype: modify
replace: aci
aci: (targetattr = “*”)(version 3.0; acl “Configuration Administrator”;
allow (all)
userdn=”ldap:///uid=admin,ou=Administrators,ou=TopologyManagement,
o=NetscapeRoot”;)
aci: (target=”“ldap:///$rootSuffix”)
(targetfilter=(!(objectclass=sunServiceComponent)))
(targetattr != “userPassword||passwordHistory
||passwordExpirationTime||passwordExpWarned||passwordRetryCount
||retryCountResetTime||accountUnlockTime||passwordAllowChangeTime”)
(version 3.0; acl “anonymous access rights”;
allow (read,search,compare)
userdn = “ldap:///anyone”; )
aci: (targetattr != “nsroledn||aci||nsLookThroughLimit||nsSizeLimit
||nsTimeLimit||nsIdleTimeout||passwordPolicySubentry||passwordExpiration
Time
||passwordExpWarned||passwordRetryCount||retryCountResetTime
||accountUnlockTime||passwordHistory||passwordAllowChangeTime||uid||mem
berOf
||objectclass||inetuserstatus||ou||owner||mail||mailuserstatus
||memberOfManagedGroup||mailQuota||mailMsgQuota||mailhost
||mailAllowedServiceAccess||inetCOS||mailSMTPSubmitChannel”)
(version 3.0; acl “Allow self entry modification”;
allow (write)
userdn =”ldap:///self”;)
aci: (targetattr != “ aci || nsLookThroughLimit || nsSizeLimit
|| nsTimeLimit|| nsIdleTimeout”)
(version 3.0; acl “Allow self entry read search”;
allow(write)
userdn =”ldap:///self”;)
aci: (target=”ldap:///$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “S1IS Proxy user rights”;
allow (proxy)
userdn = “ldap:///cn=puser,ou=DSAME Users,
$rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “S1IS special dsame user rights for all under the root
suffix”;
allow (all)
userdn = “ldap:///cn=dsameuser,ou=DSAME Users,
$rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “S1IS special ldap auth user rights”;
allow (read,search)
userdn = “ldap:///cn=amldapuser,ou=DSAME Users,
$rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “S1IS Top-level admin rights”;
allow (all)
roledn = “ldap:///cn=Top-level Admin Role,
$rootSuffix”; )
aci: (targetattr=”*”)
(version 3.0; acl “Messaging Server End User Administrator Read Only
Access”;
allow (read,search)
groupdn=”ldap:///cn=Messaging End User Administrators Group,ou=Groups,
$rootSuffix”;)
aci: (targetattr=”objectclass || mailalternateaddress || Mailautoreplymode
|| mailprogramdeliveryinfo || preferredlanguage || maildeliveryoption
|| mailforwardingaddress || mailAutoReplyTimeout
|| mailautoreplytextinternal
|| mailautoreplytext || vacationEndDate || vacationStartDate
|| mailautoreplysubject || maxPabEntries || mailMessageStore
|| mailSieveRuleSource || sunUCDateFormat || sunUCDateDeLimiter
|| sunUCTimeFormat || mailuserstatus || maildomainstatus”)
(version 3.0; acl “Messaging Server End User Administrator All Access”;
allow (all)
groupdn = “ldap:///cn=Messaging End User Administrators Group,ou=Groups,
$rootSuffix”;)
aci: (targetattr = “*”)
(version 3.0;acl “Allow Read-Only Access”;
allow (read,search,compare)
groupdn = “ldap:///cn=Read-Only,ou=Groups,
$rootSuffix”;)
aci: (target=”ldap:///cn=Organization Admin Role,($dn),$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “S1IS Organization Admin Role access deny”;
deny (write,add,delete,compare,proxy)
roledn = “ldap:///cn=Organization Admin Role,($dn),
$rootSuffix”;)
aci: (target=”ldap:///($dn),$rootSuffix”)
(targetattr=”*”)
(version 3.0; acl “Organization Admin Role access allow read”;
allow(read,search)
roledn = “ldap:///cn=Organization Admin Role,[$dn],
$rootSuffix” ;)
aci: (target=”ldap:///($dn),$rootSuffix”)
(targetfilter=(!(|(nsroledn=cn=Top-level Admin Role,$rootSuffix)
(entrydn=($dn),$rootSuffix))))
( targetattr = “*”)
(version 3.0; acl “S1IS Organization Admin Role access allow”;
allow (all)
roledn = “ldap:///cn=Organization Admin Role,[$dn],
$rootSuffix”;)
替代 ACI 的步驟
開始使用之前
開始使用此程序之前,建議您先檢查目錄中的現有 ACI。應確定是否需要保留將被此程序刪除的任何 ACI。
該程序最初會從根字尾處移除所有 ACI,並用下面列出的 ACI 集替代它們。如果目錄包含由 Messaging Server 以外的應用程式產生的 ACI,應將這些 ACI 儲存至檔案,並在套用 replacement.acis.ldif 檔案後將其重新套用到該目錄。
為協助您分析由 Access Manager 和 Messaging Server 產生的現有 ACI,請參閱本指南後面部分的以下小節︰
替代 ACI
以下程序說明如何在根字尾處合併 ACI 以及移除未使用的 ACI。
替代 ACI
步驟
-
儲存目前在根字尾處的現有 ACI。
可以使用 ldapsearch 指令,如以下範例所示︰
ldapsearch -D “cn=Directory Manager” -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>
其中,
<password> 為 Directory Server 管理員密碼。
<$rootSuffix> 為根字尾,例如 o=usergroup。
<filename> 是儲存的 ACI 將要寫入的檔案之名稱。
-
複製並重新命名 replacement.acis.ldif 檔案。
安裝 Delegated Administrator 時,replacement.acis.ldif 檔案將安裝在以下目錄中︰
da_base /lib/config-templates
-
在 replacement.acis.ldif 檔案副本中編輯 $rootSuffix 項目。
將根字尾參數 $rootSuffix 變更為您的根字尾 (例如 o=usergroup)。$rootSuffix 參數在 ldif 檔案中多次顯示;必須替代每個實例。
-
使用 LDAP 目錄工具 ldapmodify 替代 ACI。
例如,可以執行以下指令︰
ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>
其中,
<directory manager> 為 Directory Server 管理員名稱。
<password> 為 Directory Service 管理員密碼。
<replacement.acis.finished.ldif> 是在目錄中合併和移除 ACI 之已編輯的 ldif 檔案的名稱。
刪除動態組織 ACI
使用 Delegated Administrator 主控台建立組織時,將在組織節點上建立一組 ACI。
在前面程序中安裝的替代 ACI 不需要這些針對組織的 ACI。可以透過使用 Access Manager 主控台阻止建立針對組織的 ACI。
刪除動態組織 ACI
步驟
- © 2010, Oracle Corporation and/or its affiliates