若您已允許尾碼大部分的存取,您可以在現有的 ACI 下拒絕少部分尾碼的存取。
您應儘可能避免拒絕存取,因為這樣可能會導致意外或複雜的存取控制運作方式。若要限制存取,請搭配使用範圍設定、屬性清單與目標篩選器等方法。
此外,刪除拒絕存取 ACI 並不會移除權限,而會擴充其他 ACI 所設定的權限。
目錄伺服器在評估存取權限時,會先讀取 deny 權限,再讀取 allow 權限。
在後續的範例中,Example.com 希望讓所有訂閱者都能夠讀取其本身項目下的帳單資訊,如連線時間或帳戶餘額等。Example.com 亦明確希望拒絕該資訊的寫入存取。read 存取的說明位於 ACI “Billing Info Read” 中。deny 存取的說明位於 ACI “Billing Info Deny” 中。
在 LDIF 中,若要授予訂閱者讀取其本身項目中之帳單資訊的權限,請撰寫下列陳述式:
aci: (targetattr="connectionTime || accountBalance") (version 3.0; acl "Billing Info Read"; allow (search,read) userdn="ldap:///self";) |
此範例假設模式中已建立相關屬性,且 ou=subscribers,dc=example,dc=com 項目中已加入 ACI。
在 LDIF 中,若要拒絕訂閱者修改其本身項目中之帳單資訊的權限,請撰寫下列陳述式:
aci: (targetattr="connectionTime || accountBalance") (version 3.0; acl "Billing Info Deny"; deny (write) userdn="ldap:///self";) |
此範例假設模式中已建立相關屬性,且 ou=subscribers,dc=example,dc=com 項目中已加入 ACI。