授予对特定级别的访问权限

可以通过设置 ACI 的范围来影响目录树中的不同级别，以便对您所允许的访问权限级别进行微调。可将目标 ACI 范围设置为以下任一选项：

base

条目自身

onelevel

条目自身及其下一级的所有条目

subtree

条目自身及其下面的所有条目（不限制深度）

ACI "Read Example.com only"

在 LDIF 中，要为 Example.com 订户授予读取 dc=example,dc=com 条目的权限（以获取公司联系信息），但不允许访问该条目下的任何条目，可编写以下语句：

aci: (targetscope="base") (targetattr="*")(version 3.0;
 acl "Read Example.com only";  allow (read,search,compare)
 userdn="ldap:///cn=*,ou=subscribers,dc=example,dc=com";)

此示例假定 ACI 已添加到 dc=example, dc=com 条目中。