在 ACI 的主题中,($dn) 宏将被替换为目标中匹配的整个子串。例如:
groupdn="ldap:///cn=DomainAdmins,ou=Groups,($dn),dc=example,dc=com" |
此主题将变为:
groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com" |
扩展宏之后,目录服务器将在完成普通进程后评估 ACI,以确定是否授予访问权限。
与标准 ACI 不同,使用宏替换的 ACI 不一定会授予对目标条目的子条目的访问权限。这是因为当目标为子 DN 时,替换可能不会在主题字符串中创建有效 DN。