使用过滤设置目标

如果要设置允许访问目录中大量条目的访问控制，则可以使用过滤器设置目标。

在 LDIF 中，要通过过滤器允许人力资源部门的所有用户访问员工条目，可编写以下语句：

aci: (targetattr="*") (targetfilter=(objectClass=employee))
 (version 3.0; acl "HR access to employees";
 allow (all) groupdn= "ldap:///cn=HRgroup,ou=People,dc=example,dc=com";)

此示例假定 ACI 已添加到 ou=People,dc=example,dc=com 条目中。

由于搜索过滤器不直接指出要管理访问权限的对象的名称，因此在允许或拒绝对象的访问权限时，请勿弄错对象。如果不慎允许或拒绝了错误对象的访问权限，则随着目录变得越来越复杂，风险将会越来越大。此外，使用过滤器时，您可能难以对目录中的访问控制问题进行故障排除。