安全地使用 CoS

下列幾節說明每個 CoS 項目資料的讀取與寫入保護之一般原則。定義個別存取控制指令 (ACI) 的詳細程序如第 6 章, 目錄伺服器存取控制中所述。

保護 CoS 定義項目

雖然 CoS 定義項目不包含所產生屬性的值，但會提供尋找該值的資訊。讀取 CoS 定義項目可指出如何尋找包含該值的範本項目。寫入此項目會修改運算屬性的產生方式。

因此您應為 CoS 定義項目定義讀取與寫入 ACI。

保護 CoS 範本項目

CoS 範本項目包含產生的 CoS 屬性值。因此，範本中的 CoS 屬性至少必須受到 ACI 的讀取與更新保護。

• 在指標 CoS 的案例中，應禁止重新命名單一範本項目。在大多數情況下，最簡單的做法是保護整個範本項目。

• 在類別 CoS 案例中，所有範本項目在定義項目中皆指定有共用父系。如果父系項目中僅儲存了範本，則父系項目的存取控制能保護範本。但是，如果父系下的其他項目需要存取，則必須個別保護範本項目。

• 在間接 CoS 的案例中，範本可以是目錄中的任何項目，包含仍需要進行存取的使用者項目。視需要的不同，您可以控制對整個目錄中 CoS 屬性的存取，或確保 CoS 屬性在每個用為範本的項目中皆安全。

保護 CoS 的目標項目

在 CoS 定義的範圍中，所有會為其產生 CoS 運算屬性的項目，皆會參與計算屬性值。

若是在目標項目中已存在 CoS 屬性，CoS 機制預設不會覆寫此值。若不想要此運作方式，請定義 CoS 會覆寫目標項目，或保護所有潛在目標項目中的 CoS 屬性。

間接與類別 CoS 也依賴於目標項目中的限定符號屬性。此屬性會指定要使用的範本項目 DN 或 RDN。您應使用 ACI 在 CoS 的整個範圍內保護此屬性，或在需要保護的個別目標項目上保護此屬性。

保護其他相依性

運算的 CoS 屬性可以根據其他產生的 CoS 屬性與角色進行定義。您必須瞭解並保護這些相依性，以確保運算的 CoS 屬性受到保護。

例如，目標項目中的 CoS 限定符號屬性可能是 nsRole。因此，角色定義必須也受到 ACI 保護。

計算運算屬性值的過程中所包含的任何屬性或項目，一般應會有 ACI 控制讀取與寫入存取。因此，應完善規劃或簡化複合相依性，以降低後續存取控制實作的複雜度。將其他運算屬性上的相依性降至最小，能改善目錄效能並減少維護作業。