安全地使用角色

若要安全地使用角色，必須將存取控制指令 (ACI) 設為保護適當的屬性。例如，使用者 A 擁有管理角色 MR。管理角色相當於靜態群組，經由將 nsRoleDN 屬性增加至項目，明確地指定角色給每個成員項目。已透過指令行使用帳號停用鎖定 MR 角色。亦即，由於該使用者的 nsAccountLock 屬性經運算為 true，因此使用者 A 無法連結至伺服器。但是，假設使用者已連結，並知悉其已因 MR 角色而處於鎖定狀態。如果不存在 ACI 以防止使用者具備寫入存取 nsRoleDN 屬性，使用者可以從其本身的項目移除 nsRoleDN 屬性，並解除鎖定。

若要避免使用者移除 nsRoleDN 屬性，必須套用 ACI。針對篩選的角色，您必須保護能避免使用者修改屬性以放棄篩選的角色之篩選部分。應禁止使用者增加、刪除或修改篩選的角色所用之屬性。同理，如果已運算篩選的屬性值，可以修改篩選的屬性值之所有屬性皆須受到保護。由於巢式角色包含篩選與管理的角色，應針對巢式角色中所含的各角色考量以上幾點。

如需設定安全性 ACI 的詳細指示，請參閱第 6 章, 目錄伺服器存取控制。