拒絕存取

若您已允許尾碼大部分的存取，您可以在現有的 ACI 下拒絕少部分尾碼的存取。

您應儘可能避免拒絕存取，因為這樣可能會導致意外或複雜的存取控制運作方式。若要限制存取，請搭配使用範圍設定、屬性清單與目標篩選器等方法。

此外，刪除拒絕存取 ACI 並不會移除權限，而會擴充其他 ACI 所設定的權限。

目錄伺服器在評估存取權限時，會先讀取 deny 權限，再讀取 allow 權限。

在後續的範例中，Example.com 希望讓所有訂閱者都能夠讀取其本身項目下的帳單資訊，如連線時間或帳戶餘額等。Example.com 亦明確希望拒絕該資訊的寫入存取。read 存取的說明位於 ACI “Billing Info Read” 中。deny 存取的說明位於 ACI “Billing Info Deny” 中。

ACI “Billing Info Read”

在 LDIF 中，若要授予訂閱者讀取其本身項目中之帳單資訊的權限，請撰寫下列陳述式：

aci: (targetattr="connectionTime || accountBalance")
 (version 3.0; acl "Billing Info Read"; allow (search,read)
  userdn="ldap:///self";)

此範例假設模式中已建立相關屬性，且 ou=subscribers,dc=example,dc=com 項目中已加入 ACI。

ACI “Billing Info Deny”

在 LDIF 中，若要拒絕訂閱者修改其本身項目中之帳單資訊的權限，請撰寫下列陳述式：

aci: (targetattr="connectionTime || accountBalance")
 (version 3.0; acl "Billing Info Deny";
 deny (write) userdn="ldap:///self";)

此範例假設模式中已建立相關屬性，且 ou=subscribers,dc=example,dc=com 項目中已加入 ACI。