test

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

定義虛擬資料檢視的存取控制

虛擬資料檢視的 ACI 可以儲存在 LDAP 目錄或 LDIF 檔案中。如需有關虛擬 ACI 如何運作的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Access Control On Virtual Data Views」

建立目錄代理伺服器實例時,定義虛擬存取控制的下列預設配置:

Procedure定義新的 ACI 儲存庫

若不想使用上述的預設 ACI 配置,可以定義其他儲存庫。

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

  1. 建立要在其中儲存虛擬 ACI 的儲存庫之資料檢視。

  2. 將上一步驟中建立的資料檢視名稱指定為 ACI 資料檢視。

    $ dpconf set-virtual-aci-prop -h host -p port aci-data-view:data-view-name

  3. 如果 ACI 儲存庫為 LDAP 目錄,請定義存取 ACI 資料檢視所需的憑證。

    $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-dn:bind-dn
$ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-pwd-file:filename

Procedure配置虛擬存取控制

不論使用的 ACI 儲存庫為何,皆須配置虛擬存取控制。

備註 –

僅代理伺服器管理員可以建立 ACI 池,並經由 ACI 資料檢視直接管理 ACI。如果 ACI 儲存庫為 LDAP 目錄,則必須修改該目錄的模式以包含 aciSource 物件類別與 dpsaci 屬性。如需有關自訂模式的詳細資訊,請參閱延伸目錄伺服器模式

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

  1. 在 ACI 儲存庫中建立 ACI 池,並設定全域 ACI。

    如需有關全域 ACI 的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Global ACIs」。若要設定全域 ACI,請在 ACI 資料檢視的檢視基底下增加 aciSource 項目。例如:


    % ldapmodify -p port -D "cn=proxy manager" -w -
dn: cn=data-source-name,cn=virtual access controls
changetype: add
objectclass: aciSource
dpsaci: (targetattr="*") (target = "ldap:///ou=people,o=virtual") (version 3.0; \
 acl "perm1"; allow(all) groupdn="ldap:///cn=virtualGroup1,o=groups,o=virtual";)
cn: data-source-name

  2. 配置一或多個連線處理程式使用此 ACI 池。


    % dpconf set-connection-handler-prop -h host -p port connection-handler aci-source:data-source-name

  3. 將所需的 ACI 增加至資料。

    若要執行此項作業,請建立包含 ACI 的虛擬項目。例如:


    % ldapmodify -p port -D "cn=virtual application,ou=application users,dc=com" -w -
dn: ou=people,o=virtual
changetype: modify
add: dpsaci
dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(all) userdn ="ldap:///self";)
dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(search, read, compare) \
 userdn ="ldap:///anyone";)
    備註 –

    具有適當存取權限的任何使用者皆可透過資料檢視增加和擷取虛擬 ACI。