1.9. 定义 ACI 权限
权限规则定义了与访问控制指令(ACI)关联的权限,以及是否允许或拒绝访问。
在 ACI 中,以下突出显示的部分是权限规则:
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)
1.9.1. 权限规则的语法
权限规则的一般语法是:
permission (rights)
-
权限
:如果访问控制指令(ACI)允许或拒绝权限,请设置。 -
权限
:设置 ACI 允许或拒绝的权限。请参阅 权限规则 中的用户权限。
例 1.11. 定义权限
要启用存储在 ou=People,dc=example,dc=com
条目中的用户,以搜索和显示他们自己的条目中的所有属性:
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ou=People,dc=example,dc=com") (version 3.0;
acl "Allow users to read and search attributes of own entry"; allow (search, read)
(userdn = "ldap:///self");)
1.9.2. 权限规则中的用户权限
权限规则的权限定义了授予或拒绝什么操作。在 ACI 中,您可以设置以下一个或多个权利:
right | 描述 |
---|---|
| 设定用户是否可以读取目录数据。这个权限只适用于 LDAP 中的搜索操作。 |
|
通过添加、修改或删除属性来设置用户是否可以修改条目。此权限适用于 LDAP |
|
设置用户是否可以创建条目。这个权限只适用于 LDAP 中的 |
|
设置用户是否可以删除条目。这个权限只适用于 LDAP |
|
设置用户是否可以搜索目录数据。要查看搜索结果中返回的数据,请分配 |
|
设定用户是否可以将提供的数据与目录中存储的数据进行比较。对于 |
| 设置用户是否可以向组群添加或删除自己的可分辨名称(DN)。右侧仅用于组管理。 |
|
设定指定的 DN 是否可以使用另一个条目权限访问目标。 |
|
设置所有权利,除了 |
1.9.3. LDAP 操作所需的权限
This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.
添加一个条目:
-
为要添加的条目授予
add
权限。 -
为条目中的每个属性值授予
写入权限
。默认情况下会授予这个权利,但可以使用targattrfilters
关键字对其进行限制。
-
为要添加的条目授予
删除条目:
-
为要删除的条目授予
delete
权限。 -
为条目中的每个属性值授予
写入权限
。默认情况下会授予这个权利,但可以使用targattrfilters
关键字对其进行限制。
-
为要删除的条目授予
修改条目中的属性:
-
授予属性类型
的写入权限
。 -
授予每个属性类型的值
的写入权限
。默认情况下会授予这个权利,但可以使用targattrfilters
关键字对其进行限制。
-
授予属性类型
修改条目的 RDN:
-
授予条目
的写入权限
。 -
在新的 RDN 中使用的属性类型上授予
写入权限
。 -
如果要授予删除旧 RDN 的权利,请为旧 RDN 中使用的属性类型授予
写入权限
。 -
为新的 RDN 中使用的属性值授予
写入权限
。默认情况下会授予这个权利,但可以使用targattrfilters
关键字对其进行限制。
-
授予条目
比较属性值:
-
授予属性类型
的比较
权限。
-
授予属性类型
搜索条目:
-
为搜索过滤器中使用的每个属性类型授予
搜索
权限。 -
授予条目中使用的属性类型
的读取权限
。
-
为搜索过滤器中使用的每个属性类型授予