红帽全球峰会8.5. 跟踪插件发起更新的绑定 DN
在目录服务器中,您可以跟踪哪个用户执行导致插件更新条目的操作。如果启用了跟踪,并且插件会因为用户执行操作而更改了条目,您可以在更新条目的 modifiersname 属性中看到用户的名称。
8.5.1. 跟踪由插件执行的条目修改的用户信息
当用户执行更改条目的操作时,它可以触发其他、自动更改目录树。默认情况下,目录服务器不会跟踪执行启动数据修改操作的用户名称。要跟踪用户信息,您可以使用 nsslapd-plugin-binddn-tracking 参数。
例如,当管理员删除用户时,referential Integrity Postoperation 插件会自动从所有组中删除用户。您可以在条目中看到由绑定到服务器的用户帐户执行的初始操作。但是,所有相关更新都默认由插件执行,没有关于哪个用户发起更新的信息。
第二个示例可能使用 MemberOf 插件来更新带有组成员资格的用户条目。对组帐户的更新显示为绑定用户执行,而对用户条目的编辑显示为由 MemberOf 插件执行:
dn: cn=example_group,ou=groups,dc=example,dc=com
modifiersname: uid=example,ou=people,dc=example,dc=com
dn: uid=example,ou=people,dc=example,dc=com
modifiersname: cn=MemberOf Plugin,cn=plugins,cn=config
nsslapd-plugin-binddn-tracking 参数使服务器能够跟踪哪个用户源自更新操作,以及实际执行操作的内部插件。绑定的用户显示在 modifiersname 和 creatorsname 操作属性中,而执行更新的插件则显示在 internalModifiersname 和 internalCreatorsname 操作属性中。例如:
dn: uid=example,ou=people,dc=example,dc=com
modifiersname: uid=admin,ou=people,dc=example,dc=com
internalModifiersname: cn=MemberOf Plugin,cn=plugins,cn=config
nsslapd-plugin-binddn-tracking 参数跟踪和维护绑定用户以及为该连接执行的所有更新之间的关系。
internalModifiersname 和 internalCreatorsname 属性始终显示一个插件作为身份。属性的值为:
-
当核心目录服务器执行更改时,
cn=ldbm database,cn=plugins,cn=config -
当
插件更改了条目时,cn=plugins,cn=config 的 DN
8.5.2. 使用命令行跟踪插件发起更新的绑定 DN
对于由插件启动的数据更新,通常需要了解哪个用户执行导致更新的操作。在命令行中,设置 nsslapd-plugin-binddn-tracking 参数来跟踪此类用户信息。
流程
在
上,将nsslapd-plugin-binddn-tracking参数设置为:# dsconf <instance_name> config replace nsslapd-plugin-binddn-tracking=on
验证
-
显示插件更改的条目的
modifiersname和internalModifiersname属性。例如,如果启用了memberOf属性,请在将用户添加到组后显示用户的属性:
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "uid=example-user,ou=People,dc=example,dc=com" -s base -x internalModifiersname -x modifiersname
dn: uid=example-user,ou=people,dc=example,dc=com
modifiersname: uid=admin,ou=people,dc=example,dc=com
internalModifiersname: cn=MemberOf Plugin,cn=plugins,cn=config8.5.3. 使用 Web 控制台跟踪插件发起更新的绑定 DN
对于由插件启动的数据更新,通常需要了解哪个用户执行导致更新的操作。使用 Web 控制台,您可以启用跟踪用户信息。
先决条件
- 您已登录到 web 控制台中的 Directory Server 实例。
流程
-
打开
菜单。 -
在 Advanced Settings 选项卡中,选择
Enable Plugin Bind DN Tracking。 - 点 。
验证
-
显示插件更改的条目的
modifiersname和internalModifiersname属性。例如,如果启用了memberOf属性,请在将用户添加到组后显示用户的属性:
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "uid=example-user,ou=People,dc=example,dc=com" -s base -x internalModifiersname -x modifiersname
dn: uid=example-user,ou=people,dc=example,dc=com
modifiersname: uid=admin,ou=people,dc=example,dc=com
internalModifiersname: cn=MemberOf Plugin,cn=plugins,cn=config
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}