红帽全球峰会18.11. 定义绑定规则
ACI 中的绑定规则定义必须满足所需的绑定参数,以便目录服务器应用 ACI。例如,您可以根据以下内容设置绑定规则:
- dns
- 组成员资格或分配的角色
- 条目必须绑定的位置
- 在绑定过程中必须使用的身份验证类型
- 绑定发生的时间或天数
在 ACI 中,以下突出显示的部分是绑定规则:
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)语法
绑定规则的一般语法是:
keyword comparison_operator "expression"- 关键字 :设置绑定操作的类型。请参阅 第 18.11.1 节 “常用的绑定规则”。
- compare_operator: Valid 值为 = 和 !=,并且指明目标是否为表达式中指定的对象。如果关键字支持其他比较运算符,则会在对应的部分中提到。
- 表达式 :设置表达式,且必须用引号括起来。表达式本身取决于您使用的关键字。
18.11.1. 常用的绑定规则
复制链接链接已复制到粘贴板!
管理员经常使用以下 bind 关键字:
- 用户DN :请参阅 第 18.11.1.1 节 “定义基于用户访问”。
- groupdn :请参阅 第 18.11.1.2 节 “定义基于组的访问”。
另外,绑定规则通常使用布尔值运算符来合并。详情请查看 第 18.11.3 节 “使用布尔值 Operator 合并绑定规则”。
18.11.1.1. 定义基于用户访问
复制链接链接已复制到粘贴板!
userdn 关键字允许您根据一个或多个 DN 授予或拒绝访问,并使用以下语法:
userdn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."
将表达式中的 DN 设置为:
- LDAP 过滤器:请参阅 第 18.11.1.1.2 节 “将 userdn 关键字与 LDAP 过滤器一起使用”。
- 任何 别名:请参阅 第 18.11.1.1.3 节 “授予匿名访问权限”。
- 所有 别名:请参阅 第 18.11.1.1.4 节 “授予对经过身份验证的用户的访问权限”。
- 自我 别名:请参阅 第 18.11.1.1.5 节 “允许用户访问自己的条目”。
- 父 别名:请参阅 第 18.11.1.1.6 节 “设置用户级条目的访问权限”。
注意
不要在 LDAP URL 中指定主机名或端口号。URL 始终应用到本地服务器。
18.11.1.1.1. 使用带有 userdn 关键字的 DN
复制链接链接已复制到粘贴板!
将 userdn 关键字设置为 DN,将 ACI 仅应用到匹配的条目。要匹配多个条目,在 DN 中使用 * 通配符。
将 userdn 关键字与 DN 搭配使用必须匹配以下语法:
userdn comparison_operator ldap:///distinguished_name例 18.12. 使用带有 userdn 关键字的 DN
要启用 uid=admin,ou=People,dc=example,dc=com 用户,读取 ou=People,dc=example,dc=com 条目中所有其他用户的
manager 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0; acl "Allow uid=admin reading manager attribute";
allow (search, read) userdn = "ldap:///uid=admin,ou=People,dc=example,dc=com";)18.11.1.1.2. 将 userdn 关键字与 LDAP 过滤器一起使用
复制链接链接已复制到粘贴板!
如果要动态允许或拒绝用户的权限,请使用带有 LDAP 过滤器的 userdn 关键字:
userdn comparison_operator "ldap:///distinguished_name??scope?(filter)"注意
LDAP 过滤器支持 * 通配符。
例 18.13. 将 userdn 关键字与 LDAP 过滤器一起使用
要启用用户,其
department 的属性被设置为 Human Resources,以便可以更新 ou=People,dc=example,dc=com 条目中的用户的 homePostalAddress 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="homePostalAddress") (version 3.0;
acl "Allow HR setting homePostalAddress"; allow (write)
userdn = "ldap:///ou=People,dc=example,dc=com??sub?(department=Human Resources)";)18.11.1.1.3. 授予匿名访问权限
复制链接链接已复制到粘贴板!
在某些情况下,管理员希望配置目录中数据的匿名访问。匿名访问意味着可以通过提供以下内容绑定到目录:
- 没有绑定 DN 和密码
- 有效绑定 DN 和密码
要配置匿名访问,请在绑定 规则中使用 ldap:/// anyone 表达式和 userdn 关键字:
userdn comparison_operator "ldap:///anyone"例 18.14. 授予匿名访问权限
要启用使没有身份验证的任何人都可以读取和搜索 ou=People,dc=example,dc=com 条目中的
sn, givenName, 和 telephoneNumber 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="sn" || targetattr="givenName" || targetattr = "telephoneNumber")
(version 3.0; acl "Anonymous read, search for names and phone numbers";
allow (read, search) userdn = "ldap:///anyone";)18.11.1.1.4. 授予对经过身份验证的用户的访问权限
复制链接链接已复制到粘贴板!
在某些情况下,管理员希望向任何能够成功绑定到目录服务器的用户授予权限,但匿名绑定除外。要配置此功能,请在绑定规则中使用 ldap:///all 表达式和 userdn 关键字:
userdn comparison_operator "ldap:///all"例 18.15. 授予对经过身份验证的用户的访问权限
要启用经过身份验证的用户,将自身作为成员添加到 ou=example,ou=groups,dc=example,dc=com 组中:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=example,ou=Groups,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="member") (version 3.0;
acl "Allow users to add/remove themselves from example group";
allow (selfwrite) userdn = "ldap:///all";)18.11.1.1.5. 允许用户访问自己的条目
复制链接链接已复制到粘贴板!
要设置可以允许或拒绝用户访问其自身条目的 ACI,请在绑定规则中使用带 userdn 关键字的 ldap:///self 表达式:
userdn comparison_operator "ldap:///self"例 18.16. 允许用户访问自己的条目
要启用 ou=People,dc=example,dc=com 条目中的用户,以更新自己的
userPassword 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword") (version 3.0;
acl "Allow users updating their password";
allow (write) userdn = "ldap:///self";)18.11.1.1.6. 设置用户级条目的访问权限
复制链接链接已复制到粘贴板!
要指定用户只有在其绑定 DN 是目标条目的父项时才会被赋予或拒绝访问,请在绑定规则中使用带有 userdn 关键字的 self:///parent 表达式:
userdn comparison_operator "ldap:///parent"例 18.17. 设置用户级条目的访问权限
要启用 cn=user,ou=People,dc=example,dc=com 用户,以更新其自身子项目的
manager 属性,如 cn=example,cn=user,ou=People,dc=example,dc=com :
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=user,ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
acl "Allow cn=user to update manager attributes";
allow (write) userdn = "ldap:///parent";)18.11.1.2. 定义基于组的访问
复制链接链接已复制到粘贴板!
基于组的 ACI 允许您通过向组中添加或删除用户来管理访问权限。要配置基于组成员资格的 ACI,请使用 groupdn 关键字。如果用户是指定组或多个组的成员,ACI 会匹配。
使用 groupdn 关键字时,Directory 服务器根据以下属性验证组成员资格:
成员uniqueMembermemberURLmemberCertificateDescription
使用 groupdn 关键字绑定规则,语法如下:
groupdn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."
将表达式中的 DN 设置为:
- A DN.请参阅 第 18.11.1.2.1 节 “使用带有 groupdn 关键字的 DN”。
- LDAP 过滤器。请参阅 第 18.11.1.2.2 节 “将 groupdn 关键字与 LDAP Filter 搭配使用”。
如果您在一个绑定规则中设置了多个 DN,如果经过身份验证的用户是这些组的成员,则目录服务器会应用 ACI。要将用户设置为多个组的成员,使用多个 groupdn 关键字,并使用布尔值 and 操作符将其组合在一起。详情请查看 第 18.11.3 节 “使用布尔值 Operator 合并绑定规则”。
注意
不要在 LDAP URL 中指定主机名或端口号。URL 始终应用到本地服务器。
18.11.1.2.1. 使用带有 groupdn 关键字的 DN
复制链接链接已复制到粘贴板!
要将 ACI 应用到组的成员,请将 groupdn 关键字设置为组的 DN。
将 groupdn 关键字设置为 DN 使用以下语法:
groupdn comparison_operator ldap:///distinguished_name例 18.18. 使用带有 groupdn 关键字的 DN
要启用 cn=example,ou=Groups,dc=example,dc=com 组的成员搜索和读取 ou=People,dc=example,dc=com 中条目的
manager 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
acl "Allow example group to read manager attribute";
allow (search, read) groupdn = "ldap:///cn=example,ou=Groups,dc=example,dc=com";)18.11.1.2.2. 将 groupdn 关键字与 LDAP Filter 搭配使用
复制链接链接已复制到粘贴板!
使用带有 groupdn 关键字的 LDAP 过滤器,您可以定义经过身份验证的用户必须至少是过滤器搜索返回的其中一个组的成员,以匹配 ACI。
带有 LDAP 过滤器的 groupdn 关键字使用以下语法:
groupdn comparison_operator "ldap:///distinguished_name??scope?(filter)"注意
LDAP 过滤器支持 * 通配符。
例 18.19. 将 groupdn 关键字与 LDAP Filter 搭配使用
要在 dc=example,dc=com 和 subtrees 中启用组的成员,其
manager 属性设为 example,更新 ou=People,dc=example,dc=com 中条目的 homePostalAddress :
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="homePostalAddress") (version 3.0;
acl "Allow manager=example setting homePostalAddress"; allow (write)
userdn = "ldap:///dc=example,dc=com??sub?(manager=example)";)18.11.2. 进一步绑定规则
复制链接链接已复制到粘贴板!
本节论述了不经常使用的绑定规则。
18.11.2.1. 基于值匹配定义访问
复制链接链接已复制到粘贴板!
在绑定规则中使用 userattr 关键字,指定用于绑定到目录和目标条目的条目的哪个属性必须匹配。
userattr 关键字使用以下语法:
userattr comparison_operator "attribute_name#bind_type_or_attribute_value
如需了解更多详细信息,请参阅:
重要
默认情况下,Directory 服务器评估创建它们的条目的访问权限。但是,为了避免同一级别上的用户对象,在使用 userattr 关键字时,Directory 服务器不会向设置 ACI 的条目授予 添加权限。要配置此行为,请将 userattr 关键字与 parent 关键字结合使用,并额外为 0 级授予权限。
18.11.2.1.1. 使用 USERDN Bind Type
复制链接链接已复制到粘贴板!
当绑定用户 DN 与属性中存储的 DN 匹配时,要应用 ACI,请使用 USERDN 绑定类型。
带有 USERDN 绑定类型的 userattr 关键字需要以下语法:
userattr comparison_operator "attribute_name#USERDN"例 18.20. 使用 USERDN Bind Type
要为管理器授予其自己员工的
telephoneNumber 属性的所有权限:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "telephoneNumber")
(version 3.0; acl "Manager: telephoneNumber";
allow (all) userattr = "manager#USERDN";)
如果对 ou=People,dc=example,dc=com 中的条目执行操作的用户的 DN 与此条目的
manager 属性中存储的 DN 匹配,则之前的 ACI 会评估为 true。
18.11.2.1.2. 使用 GROUPDN Bind Type
复制链接链接已复制到粘贴板!
当绑定用户 DN 是属性中设置的组的成员时,要应用 ACI,请使用 GROUPDN 绑定类型。
带有 GROUPDN 绑定类型的 userattr 关键字需要以下语法:
userattr comparison_operator "attribute_name#GROUPDN"例 18.21. 使用 GROUPDN Bind Type
要授予用户删除他们在 ou=Social Committee,ou=Groups,dc=example,dc=com 条目下拥有的组条目的权限:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=Social Committee,ou=Groups,dc=example,dc=com
changetype: modify
add: aci
aci: (target="ou=Social Committee,ou=Groups,dc=example,dc=com)
(targattrfilters="del=objectClass:(objectClass=groupOfNames)")
(version 3.0; acl "Delete Group";
allow (delete) userattr = "owner#GROUPDN";)
如果执行操作的用户的 DN 是
owner 属性中指定的组的成员,则之前的 ACI 被评估为 true。
指定组可以是动态组,并且组的 DN 可以在数据库中的任何后缀下。但是,服务器对此类 ACI 的评估非常高。
如果您使用与目标条目相同的静态组,请使用以下表达式来提高性能:
userattr comparison_operator "ldap:///distinguished_name?attribute_name#GROUPDN"18.11.2.1.3. 使用 ROLEDN Bind Type
复制链接链接已复制到粘贴板!
要在绑定用户属于属性中指定的角色时应用 ACI,请使用 ROLEDN 绑定类型。
带有 ROLEDN 绑定类型的 userattr 关键字需要以下语法:
userattr comparison_operator "attribute_name#ROLEDN"例 18.22. 使用 ROLEDN Bind Type
要启用带有
cn=Administrators,dc=example,dc=com 角色的用户搜索和读取 ou=People,dc=example,dc=com 中的条目的 manager 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Allow example role owners to read manager attribute";
allow (search, read) userattr = manager#ROLEDN;)
指定的角色可以在数据库中的任何后缀下。如果您也使用过滤的角色,则这类 ACI 的评估会使用服务器上的大量资源。
如果您使用静态角色定义,且角色条目与目标条目的后缀相同,请使用以下表达式来提高性能:
18.11.2.1.4. 使用 SELFDN Bind Type
复制链接链接已复制到粘贴板!
SELFDN 绑定类型允许您在条目的单值属性中设置绑定用户的 DN 时授予权限。
带有 SELFDN 绑定类型的 userattr 关键字需要以下语法:
userattr comparison_operator "attribute_name#SELFDN"例 18.23. 使用 SELFDN Bind Type
要启用用户可以添加 ipatokenuniqueid=*,cn=otp,dc=example,dc=com 条目,其在
ipatokenOwner 属性中设置了绑定用户的 DN:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=otp,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ipatokenuniqueid=*,cn=otp,dc=example,dc=com")
(targetfilter = "(objectClass=ipaToken)")(version 3.0;
acl "token-add-delete"; allow (add) userattr = "ipatokenOwner#SELFDN";)
18.11.2.1.5. 使用 LDAPURL 绑定类型
复制链接链接已复制到粘贴板!
要在绑定 DN 与目标条目的属性中指定的过滤器匹配时应用 ACL,请使用 LDAPURL 绑定类型。
带有 LDAPURL 绑定类型的 userattr 关键字需要以下语法:
userattr comparison_operator "attribute_name#LDAPURL"例 18.24. 使用 LDAPURL 绑定类型
要为包含
aciurl 属性设置为 ldap:///ou=People,dc=example,dc=com??one? (uid=user*) 的用户对象授予读和搜索权限:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*")
(version 3.0; acl "Allow read,search "; allow (read,search)
(userattr = "aciurl#LDAPURL);)18.11.2.1.6. 使用 userattr Keyword with Inheritance
复制链接链接已复制到粘贴板!
当您使用 userattr 关键字将用来与目标条目绑定的条目时,ACI 仅适用于指定的目标,而不是它下面的条目。在某些情况下,管理员希望在目标条目下扩展 ACI 的不同级别的应用程序。这可以通过使用 parent 关键字并指定应继承 ACI 的目标下的级别数量。
将 userattr 关键字与 parent 关键字搭配使用时,语法如下:
userattr comparison_operator "parent[inheritance_level].attribute_name#bind_type_or_attribute_value- inheritance_level: Comma 分隔列表,指示目标下多少级别继承 ACI。您可以在目标条目下包括 5 级(0、1、2、3、4)。零(0)表示目标条目。
- attribute_name : userattr 或 groupattr 关键字目标的属性。
- bind_type_or_attribute_value :设置属性值或绑定类型,如 USERDN。
例如:
userattr = "parent[0,1].manager#USERDN"
如果绑定 DN 与目标条目的 manager 属性匹配,则此绑定规则评估为 true。当将绑定规则评估为 true 时授予的权限适用于目标条目,并立即应用到其下的所有条目。
例 18.25. 使用 userattr Keyword with Inheritance
要让用户读取和搜索 cn=Profiles,dc=example,dc=com 条目,其中用户的 DN 在
owner 属性中设置,以及第一个包括 cn=mail,cn=Profiles,dc=example,dc=com 和 cn=news,cn=Profiles,dc=example,dc=com 的子条目级别:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=Profiles,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="*") (version 3.0; acl "Profile access",
allow (read,search) userattr="parent[0,1].owner#USERDN" ;)18.11.2.2. 定义来自特定 IP 地址或范围的访问
复制链接链接已复制到粘贴板!
绑定规则中的 ip 关键字可让您从特定 IP 地址或 IP 地址范围授予或拒绝访问。
使用 ip 关键字绑定规则使用以下语法:
ip comparison_operator "IP_address_or_range"例 18.26. 在绑定规则中使用 IPv4 地址范围
拒绝从
192.0.2.0/24 网络访问 dc=example,dc=com 条目:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny 192.0.2.0/24"; deny (all)
(userdn = "ldap:///anyone") and (ip != "192.0.2.");)例 18.27. 在绑定规则中使用 IPv6 地址范围
拒绝从
2001:db8::/64 网络访问 dc=example,dc=com 条目:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny 2001:db8::/64"; deny (all)
(userdn = "ldap:///anyone") and (ip != "2001:db8::");)18.11.2.3. 定义来自特定主机或域的访问
复制链接链接已复制到粘贴板!
绑定规则中的 dns 关键字可让您向特定主机或域授予或拒绝访问。
警告
如果目录服务器无法使用 DNS 将连接 IP 地址解析为其完全限定域名(FQDN),服务器不会使用这个客户端的 dns 绑定规则应用 ACI。
如果无法使用 DNS 解析客户端 IP 地址,请使用 ip 关键字和 IP 地址。请参阅 第 18.11.2.2 节 “定义来自特定 IP 地址或范围的访问”。
使用 dns 关键字绑定规则使用以下语法:
dns comparison_operator "host_name_or_domain_name"例 18.28. 定义来自特定主机的访问
拒绝从
client.example.com 主机访问 dc=example,dc=com 条目:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny client.example.com"; deny (all)
(userdn = "ldap:///anyone") and (dns != "client.example.com");)例 18.29. 定义来自特定域的访问
拒绝从
example.com 域中的所有主机访问 dc=example,dc=com 条目:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny example.com"; deny (all)
(userdn = "ldap:///anyone") and (dns != "*.example.com");)18.11.2.4. 在连接中需要 Certain Security
复制链接链接已复制到粘贴板!
连接的安全性由其安全障碍(SSF)决定,它设定了处理操作所需的最小关键强度。在绑定规则中使用 ssf 关键字,您可以设置连接必须使用一定级别的安全性。这可让您强制操作(如密码更改)通过加密连接来执行。
任何操作的 SSF 的值是 TLS 连接和 SASL 绑定之间的值更高的值。这意味着,如果服务器被配置为通过 TLS 运行,并且为 SASL/GSSAPI 配置复制协议,则操作的 SSF 都会更安全。
使用 ssf 关键字绑定规则,语法如下:
ssf comparison_operator key_strength
您可以使用以下比较运算符:
- = (等于)
- ! (不等于)
- & lt; (无)
- > (greater than)
- & lt;= (小于或等于)
- >= (同意或等于)
如果将 key_strength 参数设置为 0, 则 LDAP 操作不需要安全操作。
例 18.30. 在连接中需要 Certain Security
要在 dc=example,dc=com 条目中配置该用户,只能在 SSF 为 128 或更高版本时更新其
userPassword 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0;
acl "Allow users updating own userPassword";
allow (write) (userdn = "ldap:///self") and (ssf >= "128");)18.11.2.5. 在 Week 的特定天定义访问
复制链接链接已复制到粘贴板!
绑定规则中的 dayofweek 关键字可让您根据星期几来授予或拒绝访问。
注意
目录服务器使用服务器上的时间评估 ACI,而不是客户端的时间。
使用 dayofweek 关键字绑定规则,语法如下:
dayofweek comparison_operator "comma-separated_list_of_days"例 18.31. 授予 Week 特定天的访问权限
要拒绝访问
uid=用户,ou=People,dc=example,dc=com 用户条目,以绑定到 Saturdays 和 Sundays 上的服务器:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Deny access on Saturdays and Sundays";
deny (all)
(userdn = "ldap:///uid=user,ou=People,dc=example,dc=com") and
(dayofweek = "Sun,Sat");)18.11.2.6. 在一天的特定时间定义访问
复制链接链接已复制到粘贴板!
绑定规则中的 timeofday 关键字可让您根据当天的时间授予或拒绝访问。
注意
目录服务器使用服务器上的时间评估 ACI,而不是客户端的时间。
使用 timeofday 关键字绑定规则,语法如下:
timeofday comparison_operator "time"
您可以使用以下比较运算符:
- = (等于)
- ! (不等于)
- & lt; (无)
- > (greater than)
- & lt;= (小于或等于)
- >= (同意或等于)
重要
timeofday 关键字要求您以 24 小时格式指定时间。
例 18.32. 在一天的特定时间定义访问
要拒绝
uid=用户,ou=People,dc=example,dc=com 用户条目来绑定到 6pm 到 0am 之间的服务器:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Deny access between 6pm and 0am";
deny (all)
(userdn = "ldap:///uid=user,ou=People,dc=example,dc=com") and
(timeofday >= "1800" and timeofday < "2400");)18.11.2.7. 根据身份验证方法定义访问
复制链接链接已复制到粘贴板!
绑定规则中的 authmethod 关键字设置在连接到服务器时客户端必须使用哪些验证方法来应用 ACI。
使用 authmethod 关键字绑定规则使用以下语法:
authmethod comparison_operator "authentication_method"
您可以设置以下验证方法:
- none: 不需要身份验证并代表匿名访问。这是默认值。
- 简单 :客户端必须提供要绑定到目录的用户名和密码。
- SSL :客户端必须使用数据库、智能卡或其他设备的 TLS 证书绑定到目录。有关基于证书的身份验证的详情,请参考 第 9.9 节 “使用基于证书的客户端身份验证”。
- SASL :客户端必须通过简单身份验证和安全层(SASL)连接绑定到目录。当您在绑定规则中使用此验证方法时,还要指定 SASL 机制,如 EXTERNAL。
例 18.33. 仅为使用 EXTERNAL SASL 身份验证方法的连接启用访问
如果连接没有使用基于证书的身份验证方法或 SASL,则拒绝对服务器的访问:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Deny all access without certificate"; deny (all)
(authmethod = "none" or authmethod = "simple");)
18.11.2.8. 根据角色定义访问
复制链接链接已复制到粘贴板!
绑定规则中的 roledn 关键字可让您为具有一个或多个角色集的用户授予或拒绝访问。
注意
红帽建议使用组而不是角色。有关角色和限制的详情,请参考 第 8.2.1 节 “关于角色”。
使用 roledn 关键字绑定规则使用以下语法:
roledn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."注意
如果 DN 包含逗号,请使用反斜杠转义逗号。
例 18.34. 根据角色定义访问
要启用具有
nsRole 属性中设置的 cn=Human Resources,ou=People,dc=example,dc=com 角色的用户,搜索并读取 ou=People,dc=example,dc=com 中条目的 manager 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
acl "Allow manager role to update manager attribute";
allow (search, read) roledn = "ldap:///cn=Human Resources,ou=People,dc=example,dc=com";)18.11.3. 使用布尔值 Operator 合并绑定规则
复制链接链接已复制到粘贴板!
在创建复杂的绑定规则时,可以使用 AND, OR, 和 NOT 布尔操作符对多个关键字进行组合。
绑定规则与布尔值运算符具有以下语法:
bind_rule_1 boolean_operator bind_rule_2...例 18.35. 使用布尔值 Operator 合并绑定规则
要配置属于 cn=Administrators,ou=Groups,dc=example,com 和 cn=Operators,ou=Groups,dc=example,com 组的用户读取、搜索、添加、更新和删除 ou=People,dc=example,dc=com 中的条目:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target="ldap:///ou=People,dc=example,dc=com") (version 3.0;
acl "Allow members of administrators and operators group to manage users";
allow (read, search, add, write, delete)
groupdn = "ldap:///cn=Administrators,ou=Groups,dc=example,com" AND
groupdn = "ldap:///cn=Operators,ou=Groups,dc=example,com";)目录服务器评估布尔值 Operator
目录服务器使用以下规则评估布尔值运算符:
- 所有表达式从左到右。在以下示例中,首先评估 bind_rule_1 :
(bind_rule_1) OR (bind_rule_2) - 从内部到最外的父表达式,首先是.在以下示例中,首先评估 bind_rule_2 和 bind_rule_3 秒:
(bind_rule_1) OR ((bind_rule_2) AND (bind_rule_3)) - 不在 AND 或 OR 运算符之前。在以下示例中,首先评估 bind_rule_2 :
(bind_rule_1) AND NOT (bind_rule_2)AND 和 OR 运算符没有优先级顺序。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}