根目录服务器条目(使用零长度 DN "" 执行基本对象搜索时返回的条目)以及 cn=config、cn=monitor 和 cn=schema 下的子树包含由目录服务器自动生成的访问控制指令 (Access Control Instruction, ACI)。这些 ACI 用于确定目录条目的用户权限。如果用于评估目的,则这些 ACI 已经足够。但是对于任何生产部署,您都需要评估访问控制要求并设计您自己的访问控制。
如果出于安全考虑,您要隐藏一个或多个其他子树并保护您的配置信息,则必须在 DIT 上放置其他 ACI 。
将 ACI 属性放在位于要隐藏的子树基部的条目中。
将 ACI 放在 namingContexts 属性上的根 DSE 条目中。名为 namingContexts 的根 DSE 条目属性包含每个目录服务器数据库的基 DN 列表。
将 ACI 放在 cn=config 和 cn=monitor 子树上。子树 DN 也存储在 cn=config 和 cn=monitor 下的映射树条目中。
有关创建 ACI 的详细信息,请参见第 6 章,目录服务器访问控制。