群組可讓您建立項目的關聯,以方便管理。例如,使用群組可讓定義存取控制指令 (ACI) 更加容易。群組定義是特殊的項目,可以在靜態清單中命名這些項目的成員,或提供定義一組動態項目的篩選。
不論群組定義項目的位置為何,群組的可能成員範圍為整個目錄。為了簡化管理,通常會在單一位置儲存所有群組定義項目,該位置通常位於根尾碼下的 ou=Groups。
群組可分為靜態群組與動態群組兩種類型。
靜態群組。定義靜態群組繼承 groupOfNames 或 groupOfUniqueNames 物件類別的項目。群組成員會依其 DN 列出,做為 member 或 uniqueMember 屬性的多個值。
您也可以改用靜態群組的 isMemberOf 屬性。isMemberOf 屬性會在開始搜尋時進行計算並增加至使用者項目,並在完成搜尋之後再次移除。此功能提供群組的簡易管理及快速讀取。
動態群組。定義動態群組的項目繼承 groupOfURLs 物件類別。群組成員身份由一或多個在多值 memberURL 屬性中指定之篩選所定義。動態群組中的成員即為每次評估篩選時,符合任一篩選的項目。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
使用 ldapmodify 指令建立新的靜態群組。
例如,若要建立稱為 System Administrators 的新靜態群組並增加一些成員,請使用此指令:
$ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=System Administrators, ou=Groups, dc=example,dc=com changetype: add cn: System Administrators objectclass: top objectclass: groupOfNames ou: Groups member: uid=kvaughan, ou=People, dc=example,dc=com member: uid=rdaugherty, ou=People, dc=example,dc=com member: uid=hmiller, ou=People, dc=example,dc=com |
檢查是否已建立新群組以及是否已增加成員。
例如,若要檢查 Kirsten Vaughan 是否在新的 System Administrators 群組中,請鍵入:
$ ldapsearch -b "dc=example,dc=com" uid=kvaughan isMemberOf uid=kvaughan,ou=People,dc=example,dc=com isMemberOf: cn=System Administrators, ou=Groups, dc=example,dc=com isMemberOf: cn=HR Managers,ou=groups,dc=example,dc=com |
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
使用 ldapmodify 指令建立新的動態群組。
例如,若要建立名為「3rd Floor」的新動態群組,以包含其辦公室號碼開頭為 3 的所有員工,您可以使用此指令:
$ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=3rd Floor, ou=Groups, dc=example,dc=com changetype: add cn: 3rd Floor objectclass: top objectclass: groupOfUrls ou: Groups memberURL: ldap:///dc=example,dc=com??sub?(roomnumber=3*) |