Sun Java System Directory Server Enterprise Edition 6.0 管理指南

授予添加和删除组条目的权限

某些组织允许员工在树中创建条目,以提高员工的工作效率,并鼓励员工为公司活力注入一己之力。例如,在 Example.com 中,Social Committee 由网球、游泳、滑雪和角色扮演等各种俱乐部组成。

任何 Example.com 员工都可以创建代表新俱乐部的组条目,如 ACI "Create Group" 中所示。

任何 Example.com 员工都可以成为其中某个组的成员,如允许用户在组中添加或删除自身中所示。

只有组的所有者才能修改或删除组条目,如 ACI "Delete Group" 中所示。

ACI "Create Group"

在 LDIF 中,要为 Example.com 员工授予在 ou=Social Committee 分支下创建组条目的权限,可编写以下语句:


aci: (targetattr="*") (targattrfilters="add=objectClass: 
(|(objectClass=groupOfNames)(objectClass=top))") 
(version 3.0; acl "Create Group"; allow (read,search,add) 
userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") 
and dns="*.Example.com";)

此示例假定 ACI 已添加到 ou=Social Committee,dc=example,dc=com 条目中。


注 –

ACI "Delete Group"

在 LDIF 中,要为 Example.com 员工授予相应权限,以修改或删除其所属组(在 ou=Social Committee 分支下)的组条目,可编写以下语句:


aci: (targetattr = "*") (targattrfilters="del=objectClass:
(objectClass=groupOfNames)")
 (version 3.0; acl "Delete Group"; allow (write,delete)
 userattr="owner#GROUPDN";)

此示例假定 aci 已添加到 ou=Social Committee,dc=example,dc=com 条目中。

请注意,使用 DSCC 创建此 ACI 不是有效方式,因为您必须使用手动编辑模式创建目标过滤器,并检查组的所有权。