Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

18.11. 定义绑定规则

ACI 中的绑定规则定义必须满足所需的绑定参数,以便目录服务器应用 ACI。例如,您可以根据以下内容设置绑定规则:
  • dns
  • 组成员资格或分配的角色
  • 条目必须绑定的位置
  • 在绑定过程中必须使用的身份验证类型
  • 绑定发生的时间或天数
在 ACI 中,以下突出显示的部分是绑定规则: 
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)
Copy to Clipboard Toggle word wrap

语法

绑定规则的一般语法是: 
keyword comparison_operator "expression"
Copy to Clipboard Toggle word wrap
  • 关键字 :设置绑定操作的类型。请参阅 第 18.11.1 节 “常用的绑定规则”
  • compare_operator: Valid 值为 =!=,并且指明目标是否为表达式中指定的对象。如果关键字支持其他比较运算符,则会在对应的部分中提到。
  • 表达式 :设置表达式,且必须用引号括起来。表达式本身取决于您使用的关键字。

18.11.1. 常用的绑定规则
复制链接

管理员经常使用以下 bind 关键字:
另外,绑定规则通常使用布尔值运算符来合并。详情请查看 第 18.11.3 节 “使用布尔值 Operator 合并绑定规则”

18.11.1.1. 定义基于用户访问
复制链接

userdn 关键字允许您根据一个或多个 DN 授予或拒绝访问,并使用以下语法: 
userdn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."
Copy to Clipboard Toggle word wrap
将表达式中的 DN 设置为:
注意
不要在 LDAP URL 中指定主机名或端口号。URL 始终应用到本地服务器。
18.11.1.1.1. 使用带有 userdn 关键字的 DN
复制链接
userdn 关键字设置为 DN,将 ACI 仅应用到匹配的条目。要匹配多个条目,在 DN 中使用 * 通配符。
userdn 关键字与 DN 搭配使用必须匹配以下语法: 
userdn comparison_operator ldap:///distinguished_name
Copy to Clipboard Toggle word wrap

例 18.12. 使用带有 userdn 关键字的 DN

要启用 uid=admin,ou=People,dc=example,dc=com 用户,读取 ou=People,dc=example,dc=com 条目中所有其他用户的 manager 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0; acl "Allow uid=admin reading manager attribute";
 allow (search, read) userdn = "ldap:///uid=admin,ou=People,dc=example,dc=com";)
Copy to Clipboard Toggle word wrap
如果要动态允许或拒绝用户的权限,请使用带有 LDAP 过滤器的 userdn 关键字: 
userdn comparison_operator "ldap:///distinguished_name??scope?(filter)"
Copy to Clipboard Toggle word wrap
注意
LDAP 过滤器支持 * 通配符。

例 18.13. 将 userdn 关键字与 LDAP 过滤器一起使用

要启用用户,其 department 的属性被设置为 Human Resources,以便可以更新 ou=People,dc=example,dc=com 条目中的用户的 homePostalAddress 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="homePostalAddress") (version 3.0;
 acl "Allow HR setting homePostalAddress"; allow (write)
 userdn = "ldap:///ou=People,dc=example,dc=com??sub?(department=Human Resources)";)
Copy to Clipboard Toggle word wrap
18.11.1.1.3. 授予匿名访问权限
复制链接
在某些情况下,管理员希望配置目录中数据的匿名访问。匿名访问意味着可以通过提供以下内容绑定到目录:
  • 没有绑定 DN 和密码
  • 有效绑定 DN 和密码
要配置匿名访问,请在绑定 规则中使用 ldap:/// anyone 表达式和 userdn 关键字: 
userdn comparison_operator "ldap:///anyone"
Copy to Clipboard Toggle word wrap

例 18.14. 授予匿名访问权限

要启用使没有身份验证的任何人都可以读取和搜索 ou=People,dc=example,dc=com 条目中的 sn, givenName, 和 telephoneNumber 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="sn" || targetattr="givenName" || targetattr = "telephoneNumber")
 (version 3.0; acl "Anonymous read, search for names and phone numbers";
 allow (read, search) userdn = "ldap:///anyone";)
Copy to Clipboard Toggle word wrap
在某些情况下,管理员希望向任何能够成功绑定到目录服务器的用户授予权限,但匿名绑定除外。要配置此功能,请在绑定规则中使用 ldap:///all 表达式和 userdn 关键字: 
userdn comparison_operator "ldap:///all"
Copy to Clipboard Toggle word wrap

例 18.15. 授予对经过身份验证的用户的访问权限

要启用经过身份验证的用户,将自身作为成员添加到 ou=example,ou=groups,dc=example,dc=com 组中: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=example,ou=Groups,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="member") (version 3.0;
 acl "Allow users to add/remove themselves from example group";
 allow (selfwrite) userdn = "ldap:///all";)
Copy to Clipboard Toggle word wrap
18.11.1.1.5. 允许用户访问自己的条目
复制链接
要设置可以允许或拒绝用户访问其自身条目的 ACI,请在绑定规则中使用带 userdn 关键字的 ldap:///self 表达式: 
userdn comparison_operator "ldap:///self"
Copy to Clipboard Toggle word wrap

例 18.16. 允许用户访问自己的条目

要启用 ou=People,dc=example,dc=com 条目中的用户,以更新自己的 userPassword 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword") (version 3.0;
 acl "Allow users updating their password";
 allow (write) userdn = "ldap:///self";)
Copy to Clipboard Toggle word wrap
18.11.1.1.6. 设置用户级条目的访问权限
复制链接
要指定用户只有在其绑定 DN 是目标条目的父项时才会被赋予或拒绝访问,请在绑定规则中使用带有 userdn 关键字的 self:///parent 表达式: 
userdn comparison_operator "ldap:///parent"
Copy to Clipboard Toggle word wrap

例 18.17. 设置用户级条目的访问权限

要启用 cn=user,ou=People,dc=example,dc=com 用户,以更新其自身子项目的 manager 属性,如 cn=example,cn=user,ou=People,dc=example,dc=com
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=user,ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
 acl "Allow cn=user to update manager attributes";
 allow (write) userdn = "ldap:///parent";)
Copy to Clipboard Toggle word wrap

18.11.1.2. 定义基于组的访问
复制链接

基于组的 ACI 允许您通过向组中添加或删除用户来管理访问权限。要配置基于组成员资格的 ACI,请使用 groupdn 关键字。如果用户是指定组或多个组的成员,ACI 会匹配。
使用 groupdn 关键字时,Directory 服务器根据以下属性验证组成员资格:
  • 成员
  • uniqueMember
  • memberURL
  • memberCertificateDescription
使用 groupdn 关键字绑定规则,语法如下: 
groupdn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."
Copy to Clipboard Toggle word wrap
将表达式中的 DN 设置为:
如果您在一个绑定规则中设置了多个 DN,如果经过身份验证的用户是这些组的成员,则目录服务器会应用 ACI。要将用户设置为多个组的成员,使用多个 groupdn 关键字,并使用布尔值 and 操作符将其组合在一起。详情请查看 第 18.11.3 节 “使用布尔值 Operator 合并绑定规则”
注意
不要在 LDAP URL 中指定主机名或端口号。URL 始终应用到本地服务器。
18.11.1.2.1. 使用带有 groupdn 关键字的 DN
复制链接
要将 ACI 应用到组的成员,请将 groupdn 关键字设置为组的 DN。
groupdn 关键字设置为 DN 使用以下语法: 
groupdn comparison_operator ldap:///distinguished_name
Copy to Clipboard Toggle word wrap

例 18.18. 使用带有 groupdn 关键字的 DN

要启用 cn=example,ou=Groups,dc=example,dc=com 组的成员搜索和读取 ou=People,dc=example,dc=com 中条目的 manager 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
 acl "Allow example group to read manager attribute";
 allow (search, read) groupdn = "ldap:///cn=example,ou=Groups,dc=example,dc=com";)
Copy to Clipboard Toggle word wrap
使用带有 groupdn 关键字的 LDAP 过滤器,您可以定义经过身份验证的用户必须至少是过滤器搜索返回的其中一个组的成员,以匹配 ACI。
带有 LDAP 过滤器的 groupdn 关键字使用以下语法: 
groupdn comparison_operator "ldap:///distinguished_name??scope?(filter)"
Copy to Clipboard Toggle word wrap
注意
LDAP 过滤器支持 * 通配符。

例 18.19. 将 groupdn 关键字与 LDAP Filter 搭配使用

要在 dc=example,dc=com 和 subtrees 中启用组的成员,其 manager 属性设为 example,更新 ou=People,dc=example,dc=com 中条目的 homePostalAddress
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="homePostalAddress") (version 3.0;
 acl "Allow manager=example setting homePostalAddress"; allow (write)
 userdn = "ldap:///dc=example,dc=com??sub?(manager=example)";)
Copy to Clipboard Toggle word wrap

18.11.2. 进一步绑定规则
复制链接

本节论述了不经常使用的绑定规则。

18.11.2.1. 基于值匹配定义访问
复制链接

在绑定规则中使用 userattr 关键字,指定用于绑定到目录和目标条目的条目的哪个属性必须匹配。
userattr 关键字使用以下语法: 
userattr comparison_operator "attribute_name#bind_type_or_attribute_value
Copy to Clipboard Toggle word wrap
如需了解更多详细信息,请参阅:
重要
默认情况下,Directory 服务器评估创建它们的条目的访问权限。但是,为了避免同一级别上的用户对象,在使用 userattr 关键字时,Directory 服务器不会向设置 ACI 的条目授予 添加权限。要配置此行为,请将 userattr 关键字与 parent 关键字结合使用,并额外为 0 级授予权限。
有关继承的详情,请参考 第 18.11.2.1.6 节 “使用 userattr Keyword with Inheritance”
18.11.2.1.1. 使用 USERDN Bind Type
复制链接
当绑定用户 DN 与属性中存储的 DN 匹配时,要应用 ACI,请使用 USERDN 绑定类型。
带有 USERDN 绑定类型的 userattr 关键字需要以下语法: 
userattr comparison_operator "attribute_name#USERDN"
Copy to Clipboard Toggle word wrap

例 18.20. 使用 USERDN Bind Type

要为管理器授予其自己员工的 telephoneNumber 属性的所有权限: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "telephoneNumber")
 (version 3.0; acl "Manager: telephoneNumber";
 allow (all) userattr = "manager#USERDN";)
Copy to Clipboard Toggle word wrap
如果对 ou=People,dc=example,dc=com 中的条目执行操作的用户的 DN 与此条目的 manager 属性中存储的 DN 匹配,则之前的 ACI 会评估为 true。
18.11.2.1.2. 使用 GROUPDN Bind Type
复制链接
当绑定用户 DN 是属性中设置的组的成员时,要应用 ACI,请使用 GROUPDN 绑定类型。
带有 GROUPDN 绑定类型的 userattr 关键字需要以下语法: 
userattr comparison_operator "attribute_name#GROUPDN"
Copy to Clipboard Toggle word wrap

例 18.21. 使用 GROUPDN Bind Type

要授予用户删除他们在 ou=Social Committee,ou=Groups,dc=example,dc=com 条目下拥有的组条目的权限: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=Social Committee,ou=Groups,dc=example,dc=com
changetype: modify
add: aci
aci: (target="ou=Social Committee,ou=Groups,dc=example,dc=com)
 (targattrfilters="del=objectClass:(objectClass=groupOfNames)")
 (version 3.0; acl "Delete Group";
 allow (delete) userattr = "owner#GROUPDN";)
Copy to Clipboard Toggle word wrap
如果执行操作的用户的 DN 是 owner 属性中指定的组的成员,则之前的 ACI 被评估为 true。
指定组可以是动态组,并且组的 DN 可以在数据库中的任何后缀下。但是,服务器对此类 ACI 的评估非常高。
如果您使用与目标条目相同的静态组,请使用以下表达式来提高性能: 
userattr comparison_operator "ldap:///distinguished_name?attribute_name#GROUPDN"
Copy to Clipboard Toggle word wrap
18.11.2.1.3. 使用 ROLEDN Bind Type
复制链接
要在绑定用户属于属性中指定的角色时应用 ACI,请使用 ROLEDN 绑定类型。
带有 ROLEDN 绑定类型的 userattr 关键字需要以下语法: 
userattr comparison_operator "attribute_name#ROLEDN"
Copy to Clipboard Toggle word wrap

例 18.22. 使用 ROLEDN Bind Type

要启用带有 cn=Administrators,dc=example,dc=com 角色的用户搜索和读取 ou=People,dc=example,dc=com 中的条目的 manager 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Allow example role owners to read manager attribute";
 allow (search, read) userattr = manager#ROLEDN;)
Copy to Clipboard Toggle word wrap
指定的角色可以在数据库中的任何后缀下。如果您也使用过滤的角色,则这类 ACI 的评估会使用服务器上的大量资源。
如果您使用静态角色定义,且角色条目与目标条目的后缀相同,请使用以下表达式来提高性能:
18.11.2.1.4. 使用 SELFDN Bind Type
复制链接
SELFDN 绑定类型允许您在条目的单值属性中设置绑定用户的 DN 时授予权限。
带有 SELFDN 绑定类型的 userattr 关键字需要以下语法: 
userattr comparison_operator "attribute_name#SELFDN"
Copy to Clipboard Toggle word wrap

例 18.23. 使用 SELFDN Bind Type

要启用用户可以添加 ipatokenuniqueid=*,cn=otp,dc=example,dc=com 条目,其在 ipatokenOwner 属性中设置了绑定用户的 DN: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=otp,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ipatokenuniqueid=*,cn=otp,dc=example,dc=com")
 (targetfilter = "(objectClass=ipaToken)")(version 3.0;
 acl "token-add-delete"; allow (add) userattr = "ipatokenOwner#SELFDN";)
Copy to Clipboard Toggle word wrap
18.11.2.1.5. 使用 LDAPURL 绑定类型
复制链接
要在绑定 DN 与目标条目的属性中指定的过滤器匹配时应用 ACL,请使用 LDAPURL 绑定类型。
带有 LDAPURL 绑定类型的 userattr 关键字需要以下语法: 
userattr comparison_operator "attribute_name#LDAPURL"
Copy to Clipboard Toggle word wrap

例 18.24. 使用 LDAPURL 绑定类型

要为包含 aciurl 属性设置为 ldap:///ou=People,dc=example,dc=com??one? (uid=user*) 的用户对象授予读和搜索权限: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*")
 (version 3.0; acl "Allow read,search "; allow (read,search)
 (userattr = "aciurl#LDAPURL);)
Copy to Clipboard Toggle word wrap
18.11.2.1.6. 使用 userattr Keyword with Inheritance
复制链接
当您使用 userattr 关键字将用来与目标条目绑定的条目时,ACI 仅适用于指定的目标,而不是它下面的条目。在某些情况下,管理员希望在目标条目下扩展 ACI 的不同级别的应用程序。这可以通过使用 parent 关键字并指定应继承 ACI 的目标下的级别数量。
userattr 关键字与 parent 关键字搭配使用时,语法如下: 
userattr comparison_operator "parent[inheritance_level].attribute_name#bind_type_or_attribute_value
Copy to Clipboard Toggle word wrap
  • inheritance_level: Comma 分隔列表,指示目标下多少级别继承 ACI。您可以在目标条目下包括 5 级(01234)。零(0)表示目标条目。
  • attribute_nameuserattrgroupattr 关键字目标的属性。
  • bind_type_or_attribute_value :设置属性值或绑定类型,如 USERDN
例如: 
userattr = "parent[0,1].manager#USERDN"
Copy to Clipboard Toggle word wrap
如果绑定 DN 与目标条目的 manager 属性匹配,则此绑定规则评估为 true。当将绑定规则评估为 true 时授予的权限适用于目标条目,并立即应用到其下的所有条目。

例 18.25. 使用 userattr Keyword with Inheritance

要让用户读取和搜索 cn=Profiles,dc=example,dc=com 条目,其中用户的 DN 在 owner 属性中设置,以及第一个包括 cn=mail,cn=Profiles,dc=example,dc=comcn=news,cn=Profiles,dc=example,dc=com 的子条目级别: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=Profiles,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="*") (version 3.0; acl "Profile access",
 allow (read,search) userattr="parent[0,1].owner#USERDN" ;)
Copy to Clipboard Toggle word wrap

18.11.2.2. 定义来自特定 IP 地址或范围的访问
复制链接

绑定规则中的 ip 关键字可让您从特定 IP 地址或 IP 地址范围授予或拒绝访问。
使用 ip 关键字绑定规则使用以下语法: 
ip comparison_operator "IP_address_or_range"
Copy to Clipboard Toggle word wrap

例 18.26. 在绑定规则中使用 IPv4 地址范围

拒绝从 192.0.2.0/24 网络访问 dc=example,dc=com 条目: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny 192.0.2.0/24"; deny (all)
 (userdn = "ldap:///anyone") and (ip != "192.0.2.");)
Copy to Clipboard Toggle word wrap

例 18.27. 在绑定规则中使用 IPv6 地址范围

拒绝从 2001:db8::/64 网络访问 dc=example,dc=com 条目: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny 2001:db8::/64"; deny (all)
 (userdn = "ldap:///anyone") and (ip != "2001:db8::");)
Copy to Clipboard Toggle word wrap

18.11.2.3. 定义来自特定主机或域的访问
复制链接

绑定规则中的 dns 关键字可让您向特定主机或域授予或拒绝访问。
警告
如果目录服务器无法使用 DNS 将连接 IP 地址解析为其完全限定域名(FQDN),服务器不会使用这个客户端的 dns 绑定规则应用 ACI。
如果无法使用 DNS 解析客户端 IP 地址,请使用 ip 关键字和 IP 地址。请参阅 第 18.11.2.2 节 “定义来自特定 IP 地址或范围的访问”
使用 dns 关键字绑定规则使用以下语法: 
dns comparison_operator "host_name_or_domain_name"
Copy to Clipboard Toggle word wrap

例 18.28. 定义来自特定主机的访问

拒绝从 client.example.com 主机访问 dc=example,dc=com 条目: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny client.example.com"; deny (all)
 (userdn = "ldap:///anyone") and (dns != "client.example.com");)
Copy to Clipboard Toggle word wrap

例 18.29. 定义来自特定域的访问

拒绝从 example.com 域中的所有主机访问 dc=example,dc=com 条目: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "*") (version 3.0;acl "Deny example.com"; deny (all)
 (userdn = "ldap:///anyone") and (dns != "*.example.com");)
Copy to Clipboard Toggle word wrap

18.11.2.4. 在连接中需要 Certain Security
复制链接

连接的安全性由其安全障碍(SSF)决定,它设定了处理操作所需的最小关键强度。在绑定规则中使用 ssf 关键字,您可以设置连接必须使用一定级别的安全性。这可让您强制操作(如密码更改)通过加密连接来执行。
任何操作的 SSF 的值是 TLS 连接和 SASL 绑定之间的值更高的值。这意味着,如果服务器被配置为通过 TLS 运行,并且为 SASL/GSSAPI 配置复制协议,则操作的 SSF 都会更安全。
使用 ssf 关键字绑定规则,语法如下: 
ssf comparison_operator key_strength
Copy to Clipboard Toggle word wrap
您可以使用以下比较运算符:
  • = (等于)
  • ! (不等于)
  • & lt; (无)
  • > (greater than)
  • & lt;= (小于或等于)
  • >= (同意或等于)
如果将 key_strength 参数设置为 0, 则 LDAP 操作不需要安全操作。

例 18.30. 在连接中需要 Certain Security

要在 dc=example,dc=com 条目中配置该用户,只能在 SSF 为 128 或更高版本时更新其 userPassword 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr = "userPassword") (version 3.0;
 acl "Allow users updating own userPassword";
 allow (write) (userdn = "ldap:///self") and (ssf >= "128");)
Copy to Clipboard Toggle word wrap

18.11.2.5. 在 Week 的特定天定义访问
复制链接

绑定规则中的 dayofweek 关键字可让您根据星期几来授予或拒绝访问。
注意
目录服务器使用服务器上的时间评估 ACI,而不是客户端的时间。
使用 dayofweek 关键字绑定规则,语法如下: 
dayofweek comparison_operator "comma-separated_list_of_days"
Copy to Clipboard Toggle word wrap

例 18.31. 授予 Week 特定天的访问权限

要拒绝访问 uid=用户,ou=People,dc=example,dc=com 用户条目,以绑定到 Saturdays 和 Sundays 上的服务器: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Deny access on Saturdays and Sundays";
 deny (all)
 (userdn = "ldap:///uid=user,ou=People,dc=example,dc=com") and
 (dayofweek = "Sun,Sat");)
Copy to Clipboard Toggle word wrap

18.11.2.6. 在一天的特定时间定义访问
复制链接

绑定规则中的 timeofday 关键字可让您根据当天的时间授予或拒绝访问。
注意
目录服务器使用服务器上的时间评估 ACI,而不是客户端的时间。
使用 timeofday 关键字绑定规则,语法如下: 
timeofday comparison_operator "time"
Copy to Clipboard Toggle word wrap
您可以使用以下比较运算符:
  • = (等于)
  • ! (不等于)
  • & lt; (无)
  • > (greater than)
  • & lt;= (小于或等于)
  • >= (同意或等于)
重要
timeofday 关键字要求您以 24 小时格式指定时间。

例 18.32. 在一天的特定时间定义访问

要拒绝 uid=用户,ou=People,dc=example,dc=com 用户条目来绑定到 6pm 到 0am 之间的服务器: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
 aci: (version 3.0; acl "Deny access between 6pm and 0am";
 deny (all)
 (userdn = "ldap:///uid=user,ou=People,dc=example,dc=com") and
 (timeofday >= "1800" and timeofday < "2400");)
Copy to Clipboard Toggle word wrap

18.11.2.7. 根据身份验证方法定义访问
复制链接

绑定规则中的 authmethod 关键字设置在连接到服务器时客户端必须使用哪些验证方法来应用 ACI。
使用 authmethod 关键字绑定规则使用以下语法: 
authmethod comparison_operator "authentication_method"
Copy to Clipboard Toggle word wrap
您可以设置以下验证方法:
  • none: 不需要身份验证并代表匿名访问。这是默认值。
  • 简单 :客户端必须提供要绑定到目录的用户名和密码。
  • SSL :客户端必须使用数据库、智能卡或其他设备的 TLS 证书绑定到目录。有关基于证书的身份验证的详情,请参考 第 9.9 节 “使用基于证书的客户端身份验证”
  • SASL :客户端必须通过简单身份验证和安全层(SASL)连接绑定到目录。当您在绑定规则中使用此验证方法时,还要指定 SASL 机制,如 EXTERNAL

例 18.33. 仅为使用 EXTERNAL SASL 身份验证方法的连接启用访问

如果连接没有使用基于证书的身份验证方法或 SASL,则拒绝对服务器的访问: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (version 3.0; acl "Deny all access without certificate"; deny (all)
 (authmethod = "none" or authmethod = "simple");)
Copy to Clipboard Toggle word wrap

18.11.2.8. 根据角色定义访问
复制链接

绑定规则中的 roledn 关键字可让您为具有一个或多个角色集的用户授予或拒绝访问。
注意
红帽建议使用组而不是角色。有关角色和限制的详情,请参考 第 8.2.1 节 “关于角色”
使用 roledn 关键字绑定规则使用以下语法: 
roledn comparison_operator "ldap:///distinguished_name || ldap:///distinguished_name || ..."
Copy to Clipboard Toggle word wrap
注意
如果 DN 包含逗号,请使用反斜杠转义逗号。

例 18.34. 根据角色定义访问

要启用具有 nsRole 属性中设置的 cn=Human Resources,ou=People,dc=example,dc=com 角色的用户,搜索并读取 ou=People,dc=example,dc=com 中条目的 manager 属性: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="manager") (version 3.0;
 acl "Allow manager role to update manager attribute";
 allow (search, read) roledn = "ldap:///cn=Human Resources,ou=People,dc=example,dc=com";)
Copy to Clipboard Toggle word wrap

18.11.3. 使用布尔值 Operator 合并绑定规则
复制链接

在创建复杂的绑定规则时,可以使用 AND, OR, 和 NOT 布尔操作符对多个关键字进行组合。
绑定规则与布尔值运算符具有以下语法: 
bind_rule_1 boolean_operator bind_rule_2...
Copy to Clipboard Toggle word wrap

例 18.35. 使用布尔值 Operator 合并绑定规则

要配置属于 cn=Administrators,ou=Groups,dc=example,comcn=Operators,ou=Groups,dc=example,com 组的用户读取、搜索、添加、更新和删除 ou=People,dc=example,dc=com 中的条目: 
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target="ldap:///ou=People,dc=example,dc=com") (version 3.0;
 acl "Allow members of administrators and operators group to manage users";
 allow (read, search, add, write, delete)
 groupdn = "ldap:///cn=Administrators,ou=Groups,dc=example,com" AND
 groupdn = "ldap:///cn=Operators,ou=Groups,dc=example,com";)
Copy to Clipboard Toggle word wrap

目录服务器评估布尔值 Operator

目录服务器使用以下规则评估布尔值运算符:
  • 所有表达式从左到右。
    在以下示例中,首先评估 bind_rule_1
    (bind_rule_1) OR (bind_rule_2)
    Copy to Clipboard Toggle word wrap
  • 从内部到最外的父表达式,首先是.
    在以下示例中,首先评估 bind_rule_2bind_rule_3 秒: 
    (bind_rule_1) OR ((bind_rule_2) AND (bind_rule_3))
    Copy to Clipboard Toggle word wrap
  • 不在 ANDOR 运算符之前。
    在以下示例中,首先评估 bind_rule_2
    (bind_rule_1) AND NOT (bind_rule_2)
    Copy to Clipboard Toggle word wrap
    ANDOR 运算符没有优先级顺序。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat