4.9. 自动成员资格插件属性
Automembership 本质上允许静态组充当动态组。不同的自动成员定义创建搜索,这些搜索会在所有新目录条目上自动运行。automembership 规则搜索并识别匹配的条目,与动态搜索过滤器非常相似,然后将这些条目作为成员显式添加到指定的静态组中。
Auto Membership 插件本身是一个容器条目。每个自动成员定义都是 Auto Membership 插件的子项。automember 定义定义了 LDAP 搜索基础并过滤 来识别条目以及要将其添加到的默认组。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
每个自动成员定义都可以具有自己的子条目,用于定义将条目分配给组的其他条件。正则表达式可用于包含或排除条目,并根据这些条件将它们分配到特定的组。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
如果条目与主定义匹配,而不匹配任何正则表达式条件,那么它将使用主定义中的组。如果匹配正则表达式条件,则会将其添加到正则表达式条件组中。
4.9.1. autoMemberDefaultGroup
此属性设置 default 或 fallback 组,以将条目添加为成员。如果只使用定义条目,则这是将所有匹配条目添加到的组。如果使用正则表达式条件,那么如果与 LDAP 搜索过滤器匹配的条目不匹配任何正则表达式,则该组将用作回退。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何现有的 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
4.9.2. autoMemberDefinition(Object Class)
此属性将条目标识为自动成员定义。此条目必须是 Auto Membership Plug-in、cn=Auto Membership Plugin,cn=plugins,cn=config 的子项。
允许的属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
4.9.3. autoMemberExclusiveRegex
此属性设置单个正则表达式,用于标识 要排除的 条目。如果条目与排除条件匹配,则不会 包含在组中。可以使用多个正则表达式,如果条目与其中任何一个表达式匹配,则该组中将排除在该组中。
表达式的格式是与 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcre syntax(3)man page。
排除条件首先评估,其优先级高于 include 条件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.4. autoMemberFilter
此属性设置用于搜索匹配条目的标准 LDAP 搜索过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 搜索过滤器 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberFilter:objectclass=ntUser |
4.9.5. autoMemberGroupingAttr
此属性在组条目和对象条目中的 属性指定 member 属性的名称,其提供 member 属性值,格式为 group_member_attr:entry_attr。
这种结构结构如何将成员添加到组中,具体取决于组配置。例如,对于 groupOfUniqueNames 用户组,每个成员都添加为 uniqueMember 属性。uniqueMember 的值是用户条目的 DN。本质上,每个组成员都由 uniqueMember: user_entry_DN 的 attribute-value 对来标识。然后,member 条目格式为 uniqueMember:dn。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberGroupingAttr: member:dn |
4.9.6. autoMemberInclusiveRegex
此属性设置单个正则表达式,用于标识要包含 的条目。可以使用多个正则表达式,如果条目与其中任一表达式匹配,则会包含在组中(假设它不与排除表达式匹配)。
表达式的格式是与 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcre syntax(3)man page。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.7. autoMemberProcessModifyOps
默认情况下,Directory 服务器会调用 Automembership 插件来添加和修改操作。使用这个设置时,当您向用户添加组条目或修改用户的组条目时,插件会更改组。如果将 autoMemberProcessModifyOps 设置为 off,则目录服务器仅在向用户添加组条目时调用 Automembership 插件。在这种情况下,如果管理员更改了用户条目,并且该条目会影响用户所属的 Automembership 组,该插件不会将该用户从旧组中删除,仅添加新的组。要更新旧的组,您必须手动运行修复的任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberProcessModifyOps: on |
4.9.8. autoMemberRegexRule(Object Class)
此属性将条目标识为正则表达式规则。此条目必须是自动成员定义的子项(objectclass: autoMemberDefinition)。
允许的属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
4.9.9. autoMemberScope
此属性将子树 DN 设置为搜索条目。这是搜索基础。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器子树 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberScope: dc=example,dc=com |
4.9.10. autoMemberTargetGroup
如果满足正则表达式条件,则此属性会设置将条目作为成员添加到的组。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
