第 8 章 使用 Get Effective Rights 搜索检查条目的访问权限
作为管理员,您可以查找和控制用户对特定条目内属性的访问权限。
获得有效的权限 (GER)是扩展目录搜索的方法,以显示用户对指定条目的访问权限。您可以指定以下权限:
- 读
- 编写和自我写入
- 搜索
- 添加
- 删除
在以下情况下,检查条目的有效权限很有用:
-
您可以使用 GER 命令更好地组织目录的访问控制指令。与另一个组相比,通常需要限制一组用户可以查看或编辑的用户。例如,
QA Managers组的成员可能有权限搜索并读manager和salary等属性,当只有HR Group的成员有权限修改或删除它们。检查用户或组的有效权限是验证管理员是否设置了适当访问控制的方法。 -
您可以使用 GER 命令查看您可以在个人条目上查看或修改哪些属性。例如,用户应该有权访问
homePostalAddress和cn等属性,但可能只有对manager和salary属性的读取访问权限。
getEffectiveRights 搜索使用以下实体:
-
请求者.当
getEffectiveRights搜索出现问题时,它是经过身份验证的条目。 -
您将评估其权限 的主题。它在 GER 控制中被定义为授权
DN。 - 目标。您可以通过搜索基础、搜索过滤器和请求的属性列表来定义它。
8.1. Get Effectives search permissions
任何 Get Effective Rights (GER)搜索显示任何条目都可以具有以下的访问权限:
- 低级别权限,即条目的权限。该访问权限显示用户 A 可以在用户 B 条目上执行哪些操作。
- 第二级权限 显示用户 A 具有的给定属性的权限。用户 A 可能会对同一条目的不同属性具有不同的访问权限。用户拥有的任何访问控制都是对该条目的有效权限。
例如:
entryLevelRights: vadn attributeLevelRights: givenName:rscWO, sn:rscW, objectClass:rsc, uid:rsc, cn:rscW
GER 搜索对条目和属性有以下访问权限:
| 权限 | 描述 |
|---|---|
| a | 添加一个条目。 |
| d | 删除此条目。 |
| n | 重命名 DN。 |
| v | 查看条目。 |
| 权限 | 描述 |
|---|---|
| r | 读. |
| s | 搜索. |
| w |
写入( |
| o |
Obliterate ( |
| c | 比较. |
| W | 自我写入. |
| O | 自我删除. |
