建立、檢視及修改 ACI
您可以使用目錄服務控制中心 (DSCC) 或指令行建立 ACI。無論選擇何種方式,檢視及複製現有的 ACI 值,通常會比重新建立新的 ACI 來得容易。
您可以在 DSCC 中檢視及修改 aci 屬性值。如需有關如何透過 DSCC 修改 ACI 的資訊,請參閱 DSCC 線上說明。
建立、修改及刪除 ACI
若要透過使用指令行建立 ACI,必須先使用 LDIP 陳述式在檔案中建立 ACI。接著,必須透過使用 ldapmodify 指令將 ACI 增加到您的目錄樹狀結構中。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
在 LDIF 檔案中建立 ACI。
dn: dc=example,dc=com changetype: modify add: aci aci: (target)(version 3.0; acl "name";permission bindrules;)
此範例說明增加 ACI 的方式。若要修改或刪除 ACI,請以 replace 或 delete 取代 add。
如需更多常用 ACI 的範例,請參閱存取控制用法範例。
-
使用 LDIF 檔案進行變更。
$ ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - -f ldif-file
檢視 ACI 屬性值
ACI 會儲存為項目的一或多個 aci 屬性值。aci 屬性是一種可由目錄使用者讀取及修改的多值作業屬性。因此,ACI 屬性本身應由 ACI 予以保護。通常會授予管理員使用者完整的 aci 屬性存取權。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
透過執行下列 ldapsearch 指令,以檢視項目的 ACI 屬性值:
$ ldapsearch -h host -p port -D cn=admin,cn=Administrators,cn=config -w - \ -b entryDN -s base "(objectclass=*)" aci |
其結果為可複製到新的 LDIF ACI 定義以進行編輯的 LDIF 文字。因為 ACI 的值為長字串,因此 ldapsearch 作業的輸出可能會以數行顯示。此外,第一個空格是連續記號。若不讓 LDIF 輸出包含連續記號,請使用 -T 選項。複製並貼上 LDIF 輸出時,請將輸出格式納入考量。
備註 –
若要檢視 aci 值所授予及拒絕的權限,請參閱檢視有效權限。
檢視根層級的 ACI
當您建立尾碼時,有些預設 ACI 會建立於頂層或根層級上。這些 ACI 允許預設管理員使用者 cn=admin,cn=Administrators,cn=config 對目錄資料擁有與「目錄管理員」相同的存取權限。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
檢視預設根層級 ACI。
$ ldapsearch -h host -p port -D cn=admin,cn=Administrators,cn=config -w - \ -b "" -s base "(objectclass=*)" aci |
- © 2010, Oracle Corporation and/or its affiliates