ACL
ACL控制權限
ACL設定openldap-server 配置於slapd.conf 檔案中
每一項存取規則都具有下列結構:
access to <what> by <who> <access>
what 是一個替代符號
who 會決定誰應獲得存取權
關於who(誰)來認證說明如下:
*
相符於任何使用者LDAP成員與anonymous
self
現行LDAP成員(相符DN者),假定該使用者之前bind已經認證成功
anonymous
未經認證的使用者
users
經過認證的使用者
access 會指定存取類型
存取等級:
none =0 無法存取
auth =x 必須bind認證
compare =cx 可比對屬性
search =scx 可使用搜尋過濾器
read =rscx 可讀取搜尋結果
write =wrscx 可更改屬性
另外這裡還說明有關dn.=中scope-style的差別。
例如目錄包含如下:
範圍說明
0: o=suffix
1: cn=Manager,o=suffix
2: ou=people,o=suffix
3: uid=kdz,ou=people,o=suffix
4: cn=addresses,uid=kdz,ou=people,o=suffix
5: uid=hyc,ou=people,o=suffix
然後:
dn.base="ou=people,o=suffix" match 2;
dn.one="ou=people,o=suffix" match 3, and 5;
dn.subtree="ou=people,o=suffix" match 2, 3, 4, and 5; and
dn.children="ou=people,o=suffix" match 3, 4, and 5.
--------------------------------------------------------------------------------------------
access to filter=(userPassword=1) by * none
密碼為 1 任何人都不能對他做事情
http://www.coctec.com/docs/service/show-post-24746.html
http://blog.neazor.com/?p=427
https://wenku.baidu.com/view/dd331dc458f5f61fb73666d8.html
http://www.voidcn.com/article/p-schzycov-bqy.html
http://antoinecafe.blogspot.tw/2005/01/ldapacls.html
ACL設定openldap-server 配置於slapd.conf 檔案中
每一項存取規則都具有下列結構:
access to <what> by <who> <access>
what 是一個替代符號
who 會決定誰應獲得存取權
關於who(誰)來認證說明如下:
*
相符於任何使用者LDAP成員與anonymous
self
現行LDAP成員(相符DN者),假定該使用者之前bind已經認證成功
anonymous
未經認證的使用者
users
經過認證的使用者
access 會指定存取類型
none =0 無法存取
auth =x 必須bind認證
compare =cx 可比對屬性
search =scx 可使用搜尋過濾器
read =rscx 可讀取搜尋結果
write =wrscx 可更改屬性
另外這裡還說明有關dn.
例如目錄包含如下:
0: o=suffix
1: cn=Manager,o=suffix
2: ou=people,o=suffix
3: uid=kdz,ou=people,o=suffix
4: cn=addresses,uid=kdz,ou=people,o=suffix
5: uid=hyc,ou=people,o=suffix
然後:
dn.base="ou=people,o=suffix" match 2;
dn.one="ou=people,o=suffix" match 3, and 5;
dn.subtree="ou=people,o=suffix" match 2, 3, 4, and 5; and
dn.children="ou=people,o=suffix" match 3, 4, and 5.
範例:
dc=ntpu
├cn=Manager
├ou=admin
│ ├ou=student
│ │ ├cn=adminST1
│ │ └cn=adminST2
│ └ou=teacher
│ └cn=adminTE1
├ou=student
│ └cn=8008001
│ │ └cn=6006001
│ └cn=8008002
│ └cn=6006002
└ou=teacher
└cn=5005001
---------------------------------
可影響範圍
可影響範圍
dn.base="ou=student,dc=ntpu,dc=edu,dc=tw"
dn.one="ou=student,dc=ntpu,dc=edu,dc=tw"
dn.subtree="ou=student,dc=ntpu,dc=edu,dc=tw"
dn.children="ou=student,dc=ntpu,dc=edu,dc=tw"
dc=ntpu
├cn=Manager
├ou=admin
│ ├ou=student
│ │ ├cn=adminST1
│ │ └cn=adminST2
│ └ou=teacher
│ └cn=adminTE1
├ou=student <----------------
│ └cn=8008001
│ │ └cn=6006001
│ └cn=8008002
│ └cn=6006002
└ou=teacher
└cn=5005001
dn.one="ou=student,dc=ntpu,dc=edu,dc=tw"
dc=ntpu
├cn=Manager
├ou=admin
│ ├ou=student
│ │ ├cn=adminST1
│ │ └cn=adminST2
│ └ou=teacher
│ └cn=adminTE1
├ou=student <----------------
│ └cn=8008001
│ │ └cn=6006001
│ └cn=8008002
│ └cn=6006002
└ou=teacher
└cn=5005001
dn.subtree="ou=student,dc=ntpu,dc=edu,dc=tw"
dc=ntpu
├cn=Manager
├ou=admin
│ ├ou=student
│ │ ├cn=adminST1
│ │ └cn=adminST2
│ └ou=teacher
│ └cn=adminTE1
├ou=student <----------------
│ └cn=8008001
│ │ └cn=6006001
│ └cn=8008002
│ └cn=6006002
└ou=teacher
└cn=5005001
dn.children="ou=student,dc=ntpu,dc=edu,dc=tw"
dc=ntpu
├cn=Manager
├ou=admin
│ ├ou=student
│ │ ├cn=adminST1
│ │ └cn=adminST2
│ └ou=teacher
│ └cn=adminTE1
├ou=student <----------------
│ └cn=8008001
│ │ └cn=6006001
│ └cn=8008002
│ └cn=6006002
└ou=teacher
└cn=5005001
密碼為 1 任何人都不能對他做事情
http://www.coctec.com/docs/service/show-post-24746.html
http://blog.neazor.com/?p=427
https://wenku.baidu.com/view/dd331dc458f5f61fb73666d8.html
http://www.voidcn.com/article/p-schzycov-bqy.html
http://antoinecafe.blogspot.tw/2005/01/ldapacls.html
留言
張貼留言