1.7. ACI 대상 정의

대상 규칙의 일반적인 구문은 다음과 같습니다.

(keyword comparison_operator "expression")

Distinguished Name(DN) 및 그 아래의 항목을 기반으로 액세스를 제어하려면 ACL(액세스 제어 명령)에서 target 키워드를 사용합니다. target 키워드를 사용하는 대상 규칙은 DN을 표현식으로 사용합니다.

(target comparison_operator "ldap:///distinguished_name")

# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x

dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ou=People,dc=example,dc=com") (version 3.0;
 acl "Allow users to read and search attributes of own entry"; allow (search, read)
 (userdn = "ldap:///self");)

다음 대상 규칙 예제에서는 ou=People,dc=example,dc=com 의 모든 항목과 일치하며, uid 속성이 문자 a 로 시작하는 값으로 설정됩니다.

(target = "ldap:///uid=a*,ou=People,dc=example,dc=com")

와일드카드 위치에 따라 규칙은 특성 값뿐만 아니라 전체 DN에도 적용됩니다. 따라서 와일드카드를 DN 부분 대신 사용할 수 있습니다.

(target = "ldap:///uid=user_name*,dc=example,dc=com")

ACL(액세스 제어 명령)의 액세스를 특정 속성으로 제한하려면 targetattr 키워드를 사용합니다. 예를 들어 이 키워드는 다음을 정의합니다.

특정 상황에서는 다른 대상 키워드를 targetattr 과 결합하여 targetattr 키워드를 사용하여 ACI를 보호할 수 있습니다. 대상 규칙의 고급 사용을 참조하십시오.

targetattr 키워드를 사용하는 대상 규칙에서 여러 특성을 분리하려면 || 를 사용합니다.

(targetattr comparison_operator "attribute_1 || attribute_2 || ...")

표현식에 설정된 속성은 스키마에 정의해야 합니다.

표현식에 지정된 속성은 추가 대상 규칙으로 제한되지 않는 경우 ACI 및 그 아래의 모든 항목에 적용되는 항목에 적용됩니다.

# ldapmodify -D "cn=Directory Manager" -W -H ldap::server.example.com -x

dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0;
 acl "Allow users updating own userPassword";
 allow (write) (userdn = "ldap:///self");)

(targetattr = "*")

특정 조건과 일치하는 항목 그룹을 대상으로 하려면 LDAP 필터와 함께 targetfilter 키워드를 사용합니다.

(targetfilter comparison_operator "LDAP_filter")

filter 표현식은 표준 LDAP 검색 필터입니다.

# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x

dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetfilter = "(|(department=Engineering)(department=Sales)"))
 (version 3.0; acl "Allow HR updating engineering and sales entries";
 allow (write) (groupdn = "ldap:///cn=Human Resources,dc=example,dc.com");)

targetfilter 키워드는 전체 항목을 대상으로 합니다. targetattr 키워드와 결합하면ACI(액세스 제어 명령)는 대상 항목의 속성 하위 집합에만 적용됩니다. 필터와 일치하는 항목의 특정 속성 지정을 참조하십시오.

(targetfilter = "(uid=adm*) ...)

액세스 제어를 사용하여 특성의 특정 값을 대상으로 지정할 수 있습니다. 즉, 특성 값이 ACL(액세스 제어 명령)에 정의된 기준을 충족하는 경우 속성에 대한 권한을 부여하거나 거부할 수 있습니다. 특성 값에 따라 액세스를 허용하거나 거부하는 ACI를 값 기반 ACI라고 합니다. 이는 ADD 및 DEL 작업에만 적용됩니다. 검색 권한은 특정 값으로 제한할 수 없습니다.

값 기반 ACI를 생성하려면 다음 구문과 함께 targattrfilters 키워드를 사용합니다.

이전 구문 예제에서 작업을 추가 또는 del 로 설정할 수 있습니다. attribute:filter 조합은 필터와 필터가 적용되는 특성을 설정합니다.

다음은 filter와 일치해야 하는 방법을 설명합니다.

# ldapmodify -D "cn=Directory Manager" -W -H ldap::server.example.com -x

dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targattrfilters="add=nsroledn:(!(nsroledn=cn=Admin)) &&
 telephoneNumber:(telephoneNumber=123*)") (version 3.0;
 acl "Allow adding roles and telephone";
 allow (add) (userdn = "ldap:///self");)

특정 상황에서 관리자는 사용자가 디렉터리 항목을 이동할 수 있도록 허용하려고 합니다. ACS(액세스 제어 명령)에서 target_from 및 target_to 키워드를 사용하면 사용자를 활성화하지 않고도 작업의 소스와 대상을 지정할 수 있습니다.

target_from 및 target_to 키워드 사용

예를 들어 uid=user,dc=example,dc=com 계정을 활성화하여 사용자 계정을 cn=staging,dc=example,dc=com 항목에서 cn=people,dc=example,dc=com 으로 이동하려면 다음을 입력합니다.

# ldapmodify -D "cn=Directory Manager" -W -H ldap:server.example.com -x

dn: dc=example,dc=com
changetype: modify
add: aci
aci: (target_from="ldap:///uid=*,cn=staging,dc=example,dc=com")
 (target_to="ldap:///cn=People,dc=example,dc=com")
 (version 3.0; acl "MODDN from"; allow (moddn))
 userdn="ldap:///uid=user,dc=example,dc=com";)

target_from 또는 target_to 키워드가 설정되지 않은 경우 ACI는 모든 소스 또는 대상과 일치합니다.