8장. Get Effective search를 사용하여 항목에 대한 액세스 권한 확인

관리자는 특정 항목 내의 속성에 대해 사용자가 보유한 액세스 권한을 찾고 제어할 수 있습니다.

GER(효용 권한 )는 디렉터리 검색을 확장하여 사용자에게 지정된 항목에 대한 액세스 권한을 표시하는 방법입니다. 다음 권한을 지정할 수 있습니다.

항목에 대한 효과적인 권한을 확인하는 것은 다음과 같은 상황에서 유용합니다.

GER 명령을 사용하여 디렉터리에 대한 액세스 제어 지침을 더 잘 구성할 수 있습니다. 특정 사용자 그룹이 다른 그룹에 비해 보거나 편집할 수 있는 항목을 제한해야 하는 경우가 많습니다. 예를 들어, managers 그룹의 멤버는 manager 및 average과 같은 속성을 검색 및 읽을 수 있는 권한을 가질 수 있지만, groups 멤버만 수정하거나 삭제할 수 있는 권한이 있습니다. 사용자 또는 그룹에 효과적인 권한을 확인하는 것은 관리자가 적절한 액세스 제어를 설정하는지 확인하는 한 가지 방법입니다.
GER 명령을 사용하여 개인 항목에서 보거나 수정할 수 있는 속성을 확인할 수 있습니다. 예를 들어, 사용자는 homePostalAddress 및 cn 과 같은 속성에 액세스할 수 있어야 하지만 manager 및 ratings 속성에 대한 읽기 권한만 있을 수 있습니다.

getEffectiveECDHEs 검색에서는 다음 엔티티를 사용합니다.

8.1. Effective search permissions
링크 복사

GER( Get Effective Liberty) 검색은 모든 항목이 보유할 수 있는 액세스 권한에 따라 표시됩니다.

해당 항목에 대한 권한에 해당하는 상위 수준 권한입니다. 이 액세스 권한은 사용자 B 의 항목에서 수행할 수 있는 작업 A 가 수행할 수 있는 작업을 보여줍니다.
두 번째 수준 권한 은 사용자 A 가 보유한 지정된 속성에 대한 권한을 표시합니다. 사용자 A 는 동일한 항목의 다양한 속성에 대한 액세스 권한이 다를 수 있습니다. 사용자가 보유한 모든 액세스 제어는 해당 항목에 대한 효과적인 권한입니다.

예를 들면 다음과 같습니다.

entryLevelRights: vadn
attributeLevelRights: givenName:rscWO, sn:rscW, objectClass:rsc, uid:rsc, cn:rscW

GER 검색에는 다음과 같은 항목 및 속성에 대한 액세스 권한이 있습니다.

Expand

Expand

표 8.2. 속성
권한	설명
r	읽기.
s	검색.
w	쓰기(`mod-add`).
o	obliterate(`mod-del`). 삭제하는 것과 유사합니다.
c	비교 대상입니다.
W	자체 쓰기.
O	자체 삭제.