8.2. Get Effective Rights 搜索格式
Get valid rights (GER)是一个扩展目录搜索。要使用它,您必须使用 ldapsearch
命令将 -E
选项传递给轻量级目录访问协议(LDAP)控制。例如:
# ldapsearch -x -D bind_dn -W -p server_port -h server_hostname -b base_DN -E [!]1.3.6.1.4.1.42.2.27.9.5.2=:GER_subject (searchFilter) attributeList
-b
是子树或条目的基本 DN,您可以搜索 GER 主题。如果搜索基础是一个特定条目 DN,或者结果只返回一个条目,则结果会显示请求者在该特定条目上具有的权限。如果多个条目与过滤器匹配,则搜索会返回每个匹配条目,且每个条目具有请求者的权限。
1.3.6.1.4.1.42.2.27.9.5.2
选项是 GER 控制的对象标识符。感叹号(
!
)定义搜索操作在服务器不支持此控制时返回错误(!
)还是返回任何内容。-
GER_subject 是您检查权限的用户。您可以将 GER_subject 留空(
dn:
),以获取匿名用户权利的结果。 -
可选属性 List 将 GER 结果限制为指定的属性或对象类,例如
mail
属性。 -
使用星号(
*
)符号返回所有属性。 -
使用加号(
+
)符号返回操作属性。
GER 选项向 ldapsearch
结果中添加额外信息,显示特定用户具有的权限。该 GER 主题用户可以通过附加选项 -D
对他们自己的条目请求权限。
如果请求者不是目录管理器用户,则请求者只能看到 GER 主题在请求者条目上具有的权限。所有其他条目会返回对有效权限不足的访问错误。
普通用户运行 GER 搜索的情况是常见的:
- 用户 A 检查其具有其他目录条目的权限。
- 用户 A 检查他对个人条目具有的权利。
- 用户 A 检查用户 B 对用户 A 条目具有的权利。