1.4. ACI 的限制
当您设置访问控制指令(ACI)时,会有以下限制:
如果您的目录数据库在多个服务器间分布,则以下限制适用于您可以在 ACI 中使用的关键字:
使用
groupdn
关键字分组条目的 ACI 必须位于与组条目相同的服务器上。如果组是动态的,则组的所有成员都必须在服务器上有一个条目。静态组的成员条目可以位于远程服务器中。
-
使用
roledn
关键字,基于角色定义的 ACI 必须位于与角色定义条目相同的服务器上。设计为具有该角色的每个条目也必须位于同一服务器上。
但是,您可以使用
userattr
关键字,将目标条目中存储的值与绑定用户条目中存储的值匹配。在这种情况下,即使 bind 用户在存储 ACI 的服务器上没有条目,访问通常会被评估。您可以在以下 ACI 关键字中使用虚拟属性,如 Service(CoS)属性:
-
targetfilter
-
targattrfilters
-
userattr
-
- 仅在本地服务器上评估访问控制规则。例如,如果您在 ACI 关键字中的 LDAP URL 中指定服务器的主机名,该 URL 将被忽略。