7.7. 设计访问控制

ACI 可以以条目上的目录条目和属性为目标。

定位目录条目包括该条目及其在权限范围内的所有子条目。如果没有为 ACI 显式定义目标条目，则 ACI 目标到包含 ACI 语句的目录条目。ACI 只能以一个条目为目标，或者只有与单个 LDAP 搜索过滤器匹配的条目。

目标属性将权限仅应用到属性值的子集。当您以一组属性为目标时，指定 ACI 目标或 ACI 不明确目标的属性。排除目标设置权限中的属性，但对象类结构允许的一些属性。

权限可以允许或拒绝访问。避免拒绝权限，请参阅 允许或拒绝访问

权限可以是在目录服务上执行的任何操作：

绑定规则定义 ACI 应用到的绑定 DN （用户）。它还可以指定 bind 属性，如当天或 IP 地址的时间。

另外，轻松绑定规则，使 ACI 仅适用于用户自己的条目。用户可以更新自己的条目，而无需运行更新另一个用户条目的风险。

绑定规则指示 ACI 适用时的以下情况：

目录服务器为绑定规则提供以下关键字：

当用户尝试任何对目录条目的访问时，Directory 服务器会检查目录中设置的访问控制。要确定访问，目录服务器应用 优先级规则。此规则指出，当存在两个冲突的权限时，拒绝访问的权限优先于授予访问权限的权限。

例如，如果目录服务器拒绝目录根目录的写入权限，并且该权限适用于访问该目录的任何人，那么无论可能允许写出任何权限，任何用户都可以写入该目录。要允许特定用户对目录写入权限，您需要设置原始 deny-for-write 的范围，使其不包括该用户。然后，您需要为用户设置额外的允许权限。

您可以允许或拒绝对目录树的访问，但要小心地拒绝访问。由于优先级规则，如果目录服务器找到在更高级别拒绝访问的规则，它将拒绝较低级别的访问，无论可能授予访问权限的冲突权限是什么。

限制允许访问规则的范围只包括用户或客户端应用程序的最小可能子集。例如，您可以设置权限，以允许用户在其目录条目上写入任何属性，但拒绝除 Directory 管理员组成员以外的所有用户写入 uid 属性的权限。

或者，以以下方式编写允许写入访问的两个访问规则：

仅允许特权，避免设置显式拒绝特权。

很少需要设置显式拒绝权限，但在以下情况下非常有用：

您可以为目录中的任何条目添加访问控制规则。通常，管理员将访问控制规则添加到带有对象类 domainComponent,country,organization,organizationalUnit,inetOrgPerson, 或 group 的条目。将规则组织为尽可能多的组，以简化 ACL 管理。规则适用于其目标条目和所有条目子项。因此，最好将访问控制规则放在目录或目录分支点上，而不是跨各个叶条目（如个人）分散它们。

您可以使用 LDAP 搜索过滤器来设置与一组定义的条件匹配的任何目录条目的访问权限。例如，允许对包含 organizationalUnit 属性的任何条目的读取访问权限，该属性设置为 marketing。

过滤的访问控制规则允许预定义的访问级别。例如，该目录包含家地址和电话号码信息。有些人希望发布此信息，而其他人希望取消列出。

您可以使用以下方法配置访问：