12.6. 显示、添加、删除和更新 ACI
您可以使用 ldapsearch
实用程序搜索,并使用 ldapmodify
实用程序来添加、删除和更新访问控制指令(ACI)。
显示 ACI:
例如,要显示 dc=example,dc=com
和 sub-entries 中设置的 ACIs,请输入:
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com" -s sub '(aci=*)' aci
添加 ACI
例如,要将 ACI 添加到 ou=People,dc=example,dc=com
条目,请输入:
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword") (version 3.0; acl
"Allow users updating their password";
allow (write) userdn= "ldap:///self";)
删除 ACI
删除 ACI:
如果条目上只有一个
aci
属性,或者您要从条目中删除所有 ACI:#
ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com changetype: delete delete: aci如果条目上存在多个 ACI,且要删除特定 ACI,请指定精确的 ACI:
#
ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com changetype: modify delete: aci aci: (targetattr="userPassword") (version 3.0; acl "Allow users updating their password"; allow (write) userdn= "ldap:///self";)
更新 ACI
更新 ACI:
- 删除现有的 ACI。
- 使用更新的设置添加新的 ACI。