1.9. 定义 ACI 权限

权限规则定义了与访问控制指令(ACI)关联的权限，以及是否允许或拒绝访问。

在 ACI 中，以下突出显示的部分是权限规则：

(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)

(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)

Copy to Clipboard

Toggle word wrap

1.9.1. 权限规则的语法
复制链接

权限规则的一般语法是：

permission (rights)

permission (rights)

Copy to Clipboard

Toggle word wrap

权限 ：如果访问控制指令(ACI)允许或拒绝权限，请设置。
权限 ：设置 ACI 允许或拒绝的权限。请参阅权限规则中的用户权限。

例 1.11. 定义权限

要启用存储在 ou=People,dc=example,dc=com 条目中的用户，以搜索和显示他们自己的条目中的所有属性：

ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x

# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -xldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -xldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -xldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -xldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x

dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ou=People,dc=example,dc=com") (version 3.0;
 acl "Allow users to read and search attributes of own entry"; allow (search, read)
 (userdn = "ldap:///self");)

Copy to Clipboard

Toggle word wrap

1.9.2. 权限规则中的用户权限
复制链接

权限规则的权限定义了授予或拒绝什么操作。在 ACI 中，您可以设置以下一个或多个权利：

Expand

表 1.1. 用户权限
right	描述
`读取`	设定用户是否可以读取目录数据。这个权限只适用于 LDAP 中的搜索操作。
`write`	通过添加、修改或删除属性来设置用户是否可以修改条目。此权限适用于 LDAP `中的修改和` `修改操作`。
`add`	设置用户是否可以创建条目。这个权限只适用于 LDAP 中的 `add` 操作。
`delete`	设置用户是否可以删除条目。这个权限只适用于 LDAP `中的` 删除操作。
`search`	设置用户是否可以搜索目录数据。要查看搜索结果中返回的数据，请分配 `search` 和 `read` 权限。这个权限只适用于 LDAP 中的搜索操作。
`compare`	设定用户是否可以将提供的数据与目录中存储的数据进行比较。对于 `比较` 权利，目录会返回成功或失败消息以响应静默，但用户无法看到 entry 或属性的值。这个权限只适用于 LDAP 中比较操作。
`selfwrite`	设置用户是否可以向组群添加或删除自己的可分辨名称(DN)。右侧仅用于组管理。
`proxy`	设定指定的 DN 是否可以使用另一个条目权限访问目标。`代理` 正确在 ACL 的范围内获得，而作为所授予的用户或组可以作为任何 Directory Server 用户运行命令。您不能限制特定用户的 `代理` 权限。为安全起见，请设置在目录最目标级别使用代理的 ACI。
`all`	设置所有权利，除了 `代理` 之外。

1.9.3. LDAP 操作所需的权限
复制链接

This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.

This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.

Copy to Clipboard

Toggle word wrap

添加一个条目：
- 为要添加的条目授予 add 权限。
- 为条目中的每个属性值授予 写入权限。默认情况下会授予这个权利，但可以使用 targattrfilters 关键字对其进行限制。
删除条目：
- 为要删除的条目授予 delete 权限。
- 为条目中的每个属性值授予 写入权限。默认情况下会授予这个权利，但可以使用 targattrfilters 关键字对其进行限制。
修改条目中的属性：
- 授予属性类型 的写入权限。
- 授予每个属性类型的值 的写入权限。默认情况下会授予这个权利，但可以使用 targattrfilters 关键字对其进行限制。
修改条目的 RDN：
- 授予条目 的写入权限。
- 在新的 RDN 中使用的属性类型上授予 写入权限。
- 如果要授予删除旧 RDN 的权利，请为旧 RDN 中使用的属性类型授予 写入权限。
- 为新的 RDN 中使用的属性值授予 写入权限。默认情况下会授予这个权利，但可以使用 targattrfilters 关键字对其进行限制。
比较属性值：
- 授予属性类型 的比较 权限。
搜索条目：
- 为搜索过滤器中使用的每个属性类型授予搜索权限。
- 授予条目中使用的属性类型 的读取权限。

1.9. 定义 ACI 权限

1.9.1. 权限规则的语法
复制链接

1.9.2. 权限规则中的用户权限
复制链接

1.9.3. LDAP 操作所需的权限
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.9. 定义 ACI 权限

1.9.1. 权限规则的语法复制链接链接已复制到粘贴板!

1.9.2. 权限规则中的用户权限复制链接链接已复制到粘贴板!

1.9.3. LDAP 操作所需的权限复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.9.1. 权限规则的语法
复制链接

1.9.2. 权限规则中的用户权限
复制链接

1.9.3. LDAP 操作所需的权限
复制链接