20.2. 使用命令行配置 RootDN 访问控制插件

默认情况下,RootDN Access Control 插件被禁用。要限制 Directory Manager 帐户的权限,请启用并配置插件。

流程

  1. 启用 RootDN Access Control 插件:

    # dsconf -D "cn=Directory Manager" ldap://server.example.com plugin root-dn enable
  2. 设置绑定规则。例如,要允许 Directory Manager 帐户仅从 IP 地址为 192.0.2.1 的主机登录 6am 和 9pm,请输入:

    # dsconf -D "cn=Directory Manager" ldap://server.example.com plugin root-dn set --open-time=0600 --close-time=2100 --allow-ip="192.0.2.1"

    有关您可以设置的参数及其描述的完整列表,请输入:

    # dsconf -D "cn=Directory Manager" ldap://server.example.com plugin root-dn set --help
  3. 重启实例:

    # dsctl instance_name restart

验证

  • 从不允许或者超过允许的时间范围的主机执行来自 cn=Directory Manager 的查询:

    [user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
    Enter LDAP Password:
    ldap_bind: Server is unwilling to perform (53)
    	additional info: RootDN access control violation

    如果 Directory Server 拒绝访问,则插件可以正常工作。