某些组织允许员工在树中创建条目,以提高员工的工作效率,并鼓励员工为公司活力注入一己之力。例如,在 Example.com 中,Social Committee 由网球、游泳、滑雪和角色扮演等各种俱乐部组成。
任何 Example.com 员工都可以创建代表新俱乐部的组条目,如 ACI "Create Group" 中所示。
任何 Example.com 员工都可以成为其中某个组的成员,如允许用户在组中添加或删除自身中所示。
只有组的所有者才能修改或删除组条目,如 ACI "Delete Group" 中所示。
在 LDIF 中,要为 Example.com 员工授予在 ou=Social Committee 分支下创建组条目的权限,可编写以下语句:
aci: (targetattr="*") (targattrfilters="add=objectClass: (|(objectClass=groupOfNames)(objectClass=top))") (version 3.0; acl "Create Group"; allow (read,search,add) userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") and dns="*.Example.com";) |
此示例假定 ACI 已添加到 ou=Social Committee,dc=example,dc=com 条目中。
此 ACI 不授予写入权限,这意味着条目创建者无法修改条目。
由于服务器在后台添加值 top,因此需要在 targattrfilters 关键字中指定 objectClass=top。
ACI 将客户机限制在 example.com 域中。
在 LDIF 中,要为 Example.com 员工授予相应权限,以修改或删除其所属组(在 ou=Social Committee 分支下)的组条目,可编写以下语句:
aci: (targetattr = "*") (targattrfilters="del=objectClass: (objectClass=groupOfNames)") (version 3.0; acl "Delete Group"; allow (write,delete) userattr="owner#GROUPDN";) |
此示例假定 aci 已添加到 ou=Social Committee,dc=example,dc=com 条目中。
请注意,使用 DSCC 创建此 ACI 不是有效方式,因为您必须使用手动编辑模式创建目标过滤器,并检查组的所有权。