虛擬資料檢視上的 ACI 可以儲存在 LDAP 目錄或 LDIF 檔案中。如需有關虛擬 ACI 運作方式的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Reference」中的「Access Control On Virtual Data Views」。
建立目錄代理伺服器實例時,定義虛擬存取控制的下列預設配置:
依預設在其中儲存 ACI 的 LDIF 檔案 ( instance-path/config/access_controls.ldif)
名為 virtual access controls 的 LDIF 資料檢視
此資料檢視可讓目錄代理伺服器存取儲存在 LDIF 檔案中的 ACI。
如果您不想使用之前所述的預設 ACI 配置,您可以定義不同的儲存庫。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
建立要在其中儲存虛擬 ACI 的儲存庫之資料檢視。
如果將 ACI 儲存在 LDAP 目錄中,請如建立與配置 LDAP 資料檢視中所述,建立 LDAP 資料來源與資料檢視。
如果將 ACI 儲存在 LDIF 檔案中,請如建立與配置 LDIF 資料檢視中所述,建立 LDIF 資料檢視。
將上一步驟中建立的資料檢視名稱指定為 ACI 資料檢視。
$ dpconf set-virtual-aci-prop -h host -p port aci-data-view:data-view-name
如果 ACI 儲存庫為 LDAP 目錄,請定義存取 ACI 資料檢視所需的憑證。
$ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-dn:bind-dn $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-pwd-file:filename
僅代理伺服器管理員可以建立 ACI 池,並經由 ACI 資料檢視直接管理 ACI。如果 ACI 儲存庫為 LDAP 目錄,則必須修改該目錄的模式以包含 aciSource 物件類別與 dpsaci 屬性。如需有關自訂模式的詳細資訊,請參閱延伸目錄伺服器模式。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
在 ACI 儲存庫中建立 ACI 池,並設定全域 ACI。
如需有關全域 ACI 的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Reference」中的「Global ACIs」。若要設定全域 ACI,請在 ACI 資料檢視的檢視基底下增加 aciSource 項目。例如:
% ldapmodify -p port -D "cn=proxy manager" -w - dn: cn=data-source-name,cn=virtual access controls changetype: add objectclass: aciSource dpsaci: (targetattr="*") (target = "ldap:///ou=people,o=virtual") (version 3.0; \ acl "perm1"; allow(all) groupdn="ldap:///cn=virtualGroup1,o=groups,o=virtual";) cn: data-source-name |
配置一或多個連線處理程式使用此 ACI 池。
% dpconf set-connection-handler-prop -h host -p port connection-handler \ aci-source:data-source-name |
將所需的 ACI 增加至資料。
若要執行此項作業,請建立包含 ACI 的虛擬項目。例如:
% ldapmodify -p port -D "cn=virtual application,ou=application users,dc=com" -w - dn: ou=people,o=virtual changetype: modify add: dpsaci dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(all) userdn ="ldap:///self";) dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(search, read, compare) \ userdn ="ldap:///anyone";) |
具有適當存取權限的任何使用者皆可透過資料檢視增加和擷取虛擬 ACI。