管理群組
群組可讓您產生項目關聯以便於管理。例如,使用群組可讓定義存取控制指令 (ACI) 更加容易。群組定義是特殊的項目,可以在靜態清單中命名這些項目的成員,或提供定義一組動態項目的篩選。
不論群組定義項目的位置為何,群組的可能成員範圍為整個目錄。為了簡化管理,通常會在單一位置儲存所有群組定義項目,該位置通常位於根尾碼下的 ou=Groups。
群組可分為靜態群組與動態群組兩種類型。
-
靜態群組。定義靜態群組繼承自 groupOfNames 或 groupOfUniqueNames 物件類別的項目。群組成員會依其 DN 列出,做為 member 或 uniqueMember 屬性的多個值。
您也可以改用靜態群組的 isMemberOf 屬性。isMemberOf 屬性會在開始搜尋時進行計算並增加至使用者項目,並在完成搜尋之後再次移除。此功能提供群組的簡易管理及快速讀取。
-
動態群組。定義動態群組繼承自 groupOfURLs 物件類別的項目。群組成員身份由一或多個在多值 memberURL 屬性中指定之篩選所定義。動態群組中的成員即為每次評估篩選時,符合任一篩選的項目。
建立新的靜態群組
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
-
使用 ldapmodify 指令建立新的靜態群組。
例如,若要建立稱為 System Administrators 的新靜態群組並增加一些成員,請使用此指令:
$ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=System Administrators, ou=Groups, dc=example,dc=com cn: System Administrators objectclass: top objectclass: groupOfNames ou: Groups member: uid=kvaughan, ou=People, dc=example,dc=com member: uid=rdaugherty, ou=People, dc=example,dc=com member: uid=hmiller, ou=People, dc=example,dc=com
-
檢查是否已建立新群組以及是否已增加成員。
例如,若要檢查 Kirsten Vaughan 是否在新的 System Administrators 群組中,請鍵入:
$ ldapsearch -b "dc=example,dc=com" uid=kvaughan isMemberOf uid=kvaughan,ou=People,dc=example,dc=com isMemberOf: cn=System Administrators, ou=Groups, dc=example,dc=com isMemberOf: cn=HR Managers,ou=groups,dc=example,dc=com
建立新的動態群組
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
使用 ldapmodify 指令建立新的動態群組。
例如,若要建立稱為 Database Administrators 的新動態群組,並增加姓氏為 Jensen 的成員,可使用此指令:
$ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=Database Administrators, ou=Groups, dc=example,dc=com cn: Database Administrators objectclass: top objectclass: groupOfUrls ou: Groups memberURL: ldap:///dc=example,dc=com??sub?(sn=Jensen) |
- © 2010, Oracle Corporation and/or its affiliates