第 18 章 管理访问控制
本章论述了如何在 Red Hat Directory Server 中使用访问控制指令(ACI)来管理对条目的访问。
18.1. Access Control Principles
当目录服务器收到请求时,它使用绑定操作中提供的身份验证信息和目录中定义的 ACI 来允许或拒绝对请求条目或属性的访问。服务器可以允许或拒绝对操作的权限,如 读取、写入、搜索 和比较。授予用户的权限级别取决于提供的身份验证信息。
目录服务器中的访问控制可让您在 ACI 适用时设置精确的规则:
- 对于整个目录、子树或特定条目
- 对于特定用户,属于特定组或角色的所有用户或目录中的所有用户
- 对于特定位置,如 IP 地址、IP 范围或 DNS 名称。请注意,负载均衡器可能会影响特定于位置的规则。
重要
复杂的 ACI 很难读和理解。您可以编写多个简单规则来达到同样的效果,而不是一个复杂的 ACI。但是,有大量 ACI 也会增加 ACI 处理的成本。