12.9. 定义 ACI 权限
权限规则定义与访问控制指令(ACI)关联的权利,以及是否允许或拒绝访问。
在 ACI 中,以下突出显示的部分是权限规则:
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)
12.9.1. 权限规则的语法
权限规则的一般语法是:
permission (rights)
-
权限:如果访问控制指令(ACI)允许或拒绝权限,请进行设置。 -
权限:设置 ACI 允许或拒绝的权限。请参阅 权限规则中的用户权限。
例 12.11. 定义权限
启用存储在 ou=People,dc=example,dc=com 条目中的用户来搜索并显示其自己条目中的所有属性:
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ou=People,dc=example,dc=com") (version 3.0;
acl "Allow users to read and search attributes of own entry"; allow (search, read)
(userdn = "ldap:///self");)12.9.2. 权限规则中的用户权限
权限规则中的权利定义授予或拒绝哪些操作。在 ACI 中,您可以设置以下一个或多个权限:
表 12.1. 用户权限
| 右 | Description |
|---|---|
|
| 设定用户是否能够读取目录数据。此权限只适用于 LDAP 中的搜索操作。 |
|
|
设定用户是否可以通过添加、修改或删除属性来修改条目。此权限适用于 LDAP 中的 |
|
|
设定用户是否可以创建条目。这个权限只适用于 LDAP 中的 |
|
|
设定用户是否能够删除条目。此权限仅适用于 LDAP |
|
|
设定用户是否可以搜索目录数据。要查看作为搜索结果的一部分返回的数据,分配 |
|
|
设置用户是否可以比较他们提供的数据与 目录中存储的数据。通过 |
|
| 设置用户是否可以向组中添加或删除自己的可分辨名称(DN)。右键仅用于组管理。 |
|
|
设置指定的 DN 是否可以通过另一个条目的访问权限来访问目标。右侧的 |
|
|
设置所有权限,但 |
12.9.3. LDAP 操作所需的权限
This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.
添加条目:
-
授予
您要添加的条目的添加权限。 -
授予条目中各个属性值
的写入权限。默认情况下会授予此权利,但可以使用targattrfilters关键字限制。
-
授予
删除条目:
-
授予您要删除的条目的
delete权限。 -
授予条目中各个属性值
的写入权限。默认情况下会授予此权利,但可以使用targattrfilters关键字限制。
-
授予您要删除的条目的
修改条目中的属性:
-
授予属性类型
的写入权限。 -
授予每个属性值
的写入权限。默认情况下会授予此权利,但可以使用targattrfilters关键字限制。
-
授予属性类型
修改条目的 RDN:
-
为条目授予
写入权限。 -
为新的 RDN 中使用的属性类型授予
写入权限。 -
如果要授予该用户删除旧 RDN 中的属性类型,请授予
写入权限。 -
授予新 RDN 中使用的属性值
的写入权限。默认情况下会授予此权利,但可以使用targattrfilters关键字限制。
-
为条目授予
比较属性值:
-
授予
比较属性类型的权限。
-
授予
搜索条目:
-
授予
搜索过滤器中使用的每种属性类型的搜索权限。 -
授予条目中使用的属性类型
的读取权限。
-
授予
