您可以設定 ACI 範圍來影響目錄樹狀結構內不同的層級,以微調所要允許的存取層級。目標 ACI 範圍可設為下列其中一項:
項目本身
項目本身與低一層的所有項目
項目本身及該項目下不限深度的所有項目
在 LDIF 中,若要授予 Example.com 訂閱者對公司連絡資訊項目 dc=example,dc=com 的讀取權限,但不允許存取該項目下的任何項目,請撰寫下列陳述式:
aci: (targetscope="base") (targetattr="*")(version 3.0; acl "Read Example.com only"; allow (read,search,compare) userdn="ldap:///cn=*,ou=subscribers,dc=example,dc=com";) |
此範例假設 dc=example, dc=com 項目中已加入 ACI。