當您授予目錄的群組或角色專用存取權時,經常必須確定入侵者無法模擬您的專用使用者使用這些權限。因此,授予群組或角色的重要存取權時所依據的存取控制規則,通常涉及許多條件。
以 Example.com 為例,它為託管的兩家公司 Company333 與 Company999 皆建立了「目錄伺服器管理員」角色。Example.com 希望這兩家公司能夠自行管理資料並實作存取控制規則,同時又能保護資料不受入侵。
因此,Company333 與 Company999 將在符合下列條件的情況下,對其各自位於目錄樹狀結構下的分支具有完整權限:
連線將使用透過 SSL 的憑證進行認證。
請求存取的時間為星期一至星期四的 8:00 至 18:00。
兩家公司會透過各自的指定 IP 位址請求存取。
上述條件會列在兩家公司的 ACI 中,即 ACI “Company333” 與 ACI “Company999”。由於這兩個 ACI 的內容完全相同,下列範例將僅使用 “Company333” ACI 進行說明。
在 LDIF 中,若要以前述條件為限,授予 Company333 對自己目錄分支的完整存取權,請撰寫下列陳述式:
aci: (targetattr = "*") (version 3.0; acl "Company333"; allow (all) (roledn="ldap:///cn=DirectoryAdmin,ou=Company333, ou=corporate clients,dc=example,dc=com") and (authmethod="ssl") and (dayofweek="Mon,Tues,Wed,Thu") and (timeofday >= "0800" and timeofday <= "1800") and (ip="255.255.123.234"); ) |
此範例假設 ou=Company333,ou=corporate clients,dc=example,dc=com 項目中已加入 ACI。