Ldap ACL 用户组/公司间隔离

最新推荐文章于 2024-09-14 12:02:35 发布
最新推荐文章于 2024-09-14 12:02:35 发布
阅读量442 收藏 1
点赞数
文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rebel_z/article/details/128610707
版权

正常情况下,登录一个 Ldap 用户,可以看到整个树形结构。但在一些情形下,我们希望如 dc=ali,dc=example,dc=com 仅能够被 “ali” 这个节点下的用户看到,而“dc=ali” 这个节点下的用户又仅能访问本节点下的信息,而无法看到如 dc=huawei 节点下的信息。即使 dc=baidu, dc=ali, dc=huawei 之间具有隔离性,各个公司仅能访问自己公司的节点下的 subtree, 而其他公司无法访问或是被访问。
因此要使用 Ldap 中的 ACL 进行控制,在此给出该情形的 ACL 示例。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v79dkZu4-1673233052114)(null)]

# acl.ldif 内容
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: to attrs=userPassword
  by dn="cn=admin,dc=example,dc=com" write
  by anonymous auth
  by self write
  by * none
olcAccess: to dn.regex="^cn=system_user,ou=system_user"
  by dn="cn=admin,dc=example,dc=com" write
  by * read
olcAccess: to dn.regex="dc=([^,]+),dc=example,dc=com$"
  by dn.regex="cn=system_user,ou=system_user,dc=$1,dc=example,dc=com" write 
  by dn.regex="dc=$1,dc=example,dc=com$" read
  by * none
olcAccess: to *
  by dn="cn=admin,dc=example,dc=com" write
  by anonymous auth
  by self write
  by * read

acl.ldif 内容解读:
内容中第一个 olcAccess 设置的密码规则;
第二个 olcAccess 设置的各个公司下的 cn=system_user,ou=system_user…不可更改 ,仅超管可改;
第三个 olcAccess 设置的各个公司用户隔离,仅看到本公司下的节点;
第四个 olcAccess 设置的所有属性的可见性,匿名用户隔离;

# 最后通过 ldapmodify 指令讲 acl 控制加载到 ldap 配置中
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f acl.ldif
Rebel_z
关注
使用 IPsec 与组策略隔离服务器和域-第 7 章 IPsec 疑难解答
qq_43667702的博客
02-15 677
使用 IPsec 与组策略隔离服务器和域-第 7 章 IPsec 疑难解答
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2110
前言 一、架构说明 二、
Ldap ACL
千点距
09-25 787
(1)、控制对什么的访问(What to control access to) 决定了将要应用访问控制的条目和属性。条目通常通过两种方式选定:通过DN或者通过过滤器。下面的示例通过DN选择条目:  to *  to dn[.]=  to dn.=      第一种格式用于选择所有的条目。第二种格式用于选择标准化的DN与所给正则表达式相匹配的条目(第二种格式不会在本文档中深入讨论)。第
LDAP介绍和使用ACL示例
飞扬大哥哥的技术人生
03-17 1206
本教程向您演示了如何创建一个基于 LDAP 的后端来存储多个应用程序可以方便共享的联系人信息。同时,我们提供了 LDAP 基础知识的概述,并向您介绍了一个预先构建的联系人管理工具,该工具将帮助您着手使用这一开放技术。预备知识 读者应基本掌握一般管理任务方面的知识及其概念。包括诸如设置权限、管理用户账户、移动和复制文件、创建符号链接等任务。要执行本教程中的示例,您必需正确安装和配置 Linux 系统
未授权访问漏洞总结
m0_64481831的博客
06-18 1319
以下总结了常见的未授权访问漏洞,还在持续更新中,遇到就会补充。欢迎大家关注~
LDAP ACL(OpenLDAP)
一步一个脚印的专栏
05-24 7059
OpenLDAP ACL
LDAP ACL细节处理
老实人的博客
07-23 1126
LDAP 细节—ACL 权限控制 针对 LDAP 需要多管理员模式,记性 ACL 权限控制。 修改已经存在的 LDAP 配置文件加入 ACL 控制 # cat acl.ldif dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcAccess olcAccess: to attrs=userPassword by dn="cn=manager,dc=magic,dc=com" write by dn.children="ou
Linux OpenLDAP配置ACL
qq_34486648的博客
11-13 1453
版本 CentOS。
运用Linux用户和组的高级操作技巧
而用户可以归属于一个或多个用户组,每个组也有一个唯一的组名(Group Name)和一个组ID(Group ID)。 在Linux系统中,用户和组的信息通常存储在`/etc/passwd`和`/etc/group`文件中。`passwd`文件包含了所有用户的...
Linux运维-Linux系统用户及组管理-权限管理精要
Linux系统用户管理 ## 1.1 用户账号的创建与删除 在Linux系统中,可以通过`useradd`命令来创建新用户账号,例如: ```bash sudo useradd -m newUser ``` 上述命令中,`-m`选项表示在创建用户时同时创建用户的家...
H3C CAS系列开篇之CAS初认识
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-14 990
基于信创需要,某项目中的VMware软件存求替代方案,尤其在VDI方面,寻求使用紫光集团旗下H3C的CAS云计算管理平台,又称CAS虚拟化解决方案/管理系统,H3C CAS是H3C公司面向数据中心自主研发的企业级虚拟化软件。CAS提供了强大的虚拟化功能和资源池管理能力,能有效整合数据中心IT基础设施资源,只需通过简单易用的管理界面轻松管理IT资源池和架构,助力数据中心从传统架构向云架构平滑演进。对硬件主机,CVM进行双击热备,两台服务器以主备模式运行CVM管理软件,通过虚拟IP来访问CAS管理平台。
openldap ACL设置
weixin_33882452的博客
11-21 203
1、语法语法access to what: by who access control 其中,access to指示启用访问控制,上句大致可以理解为: access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+2、控制目标 what 这一域主要是实现对A...
17.OpenLDAP配置ACL
csy228779856的博客
06-24 500
/etc/openldap/openldap/slapd.conf配置ACL时,应使用固定的格式: ::= access to [ by [ ] [ ] ]+ ---------参数what---------------...
windows下对LDAP实现增删改查(一)
芒果黑的博客
04-01 1192
LDAP提供标准的访问协议,采用的是ASN.1协议格式,不是很好理解,不过应用层方面提供c/c++的api,可以很方便的使用 windows下可以使用微软提供的一系列接口,MSDN文档介绍可查看 库的使用 打开MSDN的文档,随便打开一个接口,在接口介绍底部会说明使用的库及头文件 使用时需包含头文件winldap.h 链接库Wldap32.lib #pragma comment(lib,"Wldap32.lib") Qt的也可以在pro文件添加 LIBS += -lWldap32
修改Windows AD的LDAP查询限制
weixin_33775572的博客
05-27 756
默认情况下,Windows Server中默认的将LDAP的查询数量限制为1000个,可以通过一下方式进行LDAP查询数量的修改:1、登录域控服务器,然后在CMD命令行模式下输入:ntdsutil,打开目录服务维护工具:2、输入:ldap policies3、依次输入:connections——>connect to domain xxx(当前域名),绑定到当前域的policies,最后...
LDAP快速入门
db20092758的博客
08-28 2082
LDAP快速入门 1. LDAP简介   LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的...
LDAP (OpenLDAP)+ CentOS7.5 部署与实践
01-07
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让我们共同探索未来的道路。
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
zrc_xiaoguo的博客
11-16 2239
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
H3C S6850交换机通过配置基本ACL实现不同vlan之通信隔离
hhada123的博客
04-09 6844
大家都知道通过vlanif可以实现不同vlan之相互通信,但大部分情况下,为了安全考虑是希望不同vlan之不能相互通信。今天讲的ACL(访问控制列表)就可以实现不同vlan之通信隔离。 首先百度百科一下什么是ACLACL(访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 今天的实验网络拓扑图如下: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值