保护配置信息

根目录服务器条目（使用零长度 DN "" 执行基本对象搜索时返回的条目）以及 cn=config、cn=monitor 和 cn=schema 下的子树包含由目录服务器自动生成的访问控制指令 (Access Control Instruction, ACI)。这些 ACI 用于确定目录条目的用户权限。如果用于评估目的，则这些 ACI 已经足够。但是对于任何生产部署，您都需要评估访问控制要求并设计您自己的访问控制。

如果出于安全考虑，您要隐藏一个或多个其他子树并保护您的配置信息，则必须在 DIT 上放置其他 ACI 。

• 将 ACI 属性放在位于要隐藏的子树基部的条目中。

• 将 ACI 放在 namingContexts 属性上的根 DSE 条目中。名为 namingContexts 的根 DSE 条目属性包含每个目录服务器数据库的基 DN 列表。

• 将 ACI 放在 cn=config 和 cn=monitor 子树上。子树 DN 也存储在 cn=config 和 cn=monitor 下的映射树条目中。

有关创建 ACI 的详细信息，请参见第 6 章，目录服务器访问控制。