Ldap ACL 用户组/公司间隔离

最新推荐文章于 2025-06-03 09:54:15 发布
原创 最新推荐文章于 2025-06-03 09:54:15 发布 · 572 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器

文章讲述了如何通过Ldap的ACL设置,实现不同节点如dc=ali,dc=example,dc=com等之间的访问隔离,确保每个节点下的用户只能访问其所在公司的信息,不能访问其他公司数据。示例展示了具体配置文件acl.ldif的内容和解析,包括密码规则、系统用户权限以及各公司用户的访问限制。

正常情况下,登录一个 Ldap 用户,可以看到整个树形结构。但在一些情形下,我们希望如 dc=ali,dc=example,dc=com 仅能够被 “ali” 这个节点下的用户看到,而“dc=ali” 这个节点下的用户又仅能访问本节点下的信息,而无法看到如 dc=huawei 节点下的信息。即使 dc=baidu, dc=ali, dc=huawei 之间具有隔离性,各个公司仅能访问自己公司的节点下的 subtree, 而其他公司无法访问或是被访问。
因此要使用 Ldap 中的 ACL 进行控制,在此给出该情形的 ACL 示例。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v79dkZu4-1673233052114)(null)]

# acl.ldif 内容
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: to attrs=userPassword
  by dn="cn=admin,dc=example,dc=com" write
  by anonymous auth
  by self write
  by * none
olcAccess: to dn.regex="^cn=system_user,ou=system_user"
  by dn="cn=admin,dc=example,dc=com" write
  by * read
olcAccess: to dn.regex="dc=([^,]+),dc=example,dc=com$"
  by dn.regex="cn=system_user,ou=system_user,dc=$1,dc=example,dc=com" write 
  by dn.regex="dc=$1,dc=example,dc=com$" read
  by * none
olcAccess: to *
  by dn="cn=admin,dc=example,dc=com" write
  by anonymous auth
  by self write
  by * read

acl.ldif 内容解读:
内容中第一个 olcAccess 设置的密码规则;
第二个 olcAccess 设置的各个公司下的 cn=system_user,ou=system_user…不可更改 ,仅超管可改;
第三个 olcAccess 设置的各个公司用户隔离,仅看到本公司下的节点;
第四个 olcAccess 设置的所有属性的可见性,匿名用户隔离;

# 最后通过 ldapmodify 指令讲 acl 控制加载到 ldap 配置中
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f acl.ldif
Rebel_z
关注
LDAP配置与安装
mandarin_meng的博客
11-21 3256
LDAP的原理知识参考:https://www.cnblogs.com/wilburxu/p/9174353.html。修改Apache的端口!url: http://服务器地址:端口/phpldapadmin/5.3. 修改{-1}frontend.ldif文件。5.3. 修改{-1}frontend.ldif文件。5.2. 修改{1}monitor.ldif文件。5.2. 修改{1}monitor.ldif文件。7、修改LDAP文件权限、端口(不强求)7、修改LDAP文件权限、端口(不强求)
公有云和私有云多租户隔离核心技术及其比较
heardlover的博客
04-06 1034
利用虚拟私有云(VPC)、虚拟局域网(VLAN)、防火墙、安全组等技术,将不同租户的网络流量进行隔离和过滤,限制租户之的网络通信,防止数据泄露和恶意攻击。根据企业内部的安全需求,对不同部门或项目的数据进行隔离,可采用物理隔离、逻辑隔离和访问控制隔离等多种方式,确保数据的独立性和安全性。:采用竖井隔离模式、共享模式、分域模式等,实现计算、存储和网络等资源的隔离,确保不同租户之的数据和操作互不干扰。通过设置不同的用户角色和权限,严格控制不同部门或项目人员对资源的访问和操作权限,实现权限的精细化管理。
LDAP (OpenLDAP)+ CentOS7.5 部署与实践
01-07
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让我们共同探索未来的道路。
ldap名词总结
bytxl的专栏
11-13 2951
LDAP是轻量级目录服务(Lightweight Directory Access Protocol)。越来越多的应用开始采用LDAP作为后端用户存储。在安全上,LDAP Security是基于ACL(Access Control List)的,它通过给一个用户组分配LDAP 操作资源(比如对一个子树的查询,修改等)来最终完成权限的控制。因此在LDAP中,授权工作是以用户组为单位进行的。
Ldap ACL
千点距
09-25 860
(1)、控制对什么的访问(What to control access to) 决定了将要应用访问控制的条目和属性。条目通常通过两种方式选定:通过DN或者通过过滤器。下面的示例通过DN选择条目:  to *  to dn[.]=  to dn.=      第一种格式用于选择所有的条目。第二种格式用于选择标准化的DN与所给正则表达式相匹配的条目(第二种格式不会在本文档中深入讨论)。第
LDAP介绍和使用ACL示例
飞扬大哥哥的技术人生
03-17 1420
本教程向您演示了如何创建一个基于 LDAP 的后端来存储多个应用程序可以方便共享的联系人信息。同时,我们提供了 LDAP 基础知识的概述,并向您介绍了一个预先构建的联系人管理工具,该工具将帮助您着手使用这一开放技术。预备知识 读者应基本掌握一般管理任务方面的知识及其概念。包括诸如设置权限、管理用户账户、移动和复制文件、创建符号链接等任务。要执行本教程中的示例,您必需正确安装和配置 Linux 系统
[Jenkins租户隔离]-多团队如何使用一个jenkins(1/2)——权限策略
haerxiong的专栏
08-05 1032
一、背景 需求是Job/Item隔离。即各个团队可以创建自己的job/item,别人无法看到。 ps:我全文用了Job一词,在Jenkins中其实是Item ps:自己研究了几天,从一开始以为Jenkins权限支持的不好,到 Role-based Authorization Strategy插件,再到LDAP、组权限等,其实发现最简单的就在眼皮下。 二、步骤 安装插件 Matrix Authorization Strategy Plugin 进入 Configure Global Security
用户与组练习题
m0_70730767的博客
06-03 723
21.sudo -i:以目标用户(通常是root)的身份启动一个新的登录会话,加载目标用户的环境变量。2.UID:唯一标识用户的身份,用于区分不同用户,控制用户对系统资源的访问权限。useradd -s /sbin/nologin创建的用户类型是什么?26.root权限或者具有访问/var/log/btmp文件的权限。系统用户(程序用户)在CentOS7中的UID范围是什么?/etc/login.defs文件影响什么类型的用户?/etc/shadow中!/etc/gshadow文件的作用是什么?
【权限控制实战课】:组策略中的ACL应用精讲
本文首先介绍了组策略和ACL的基础知识,然后深入探讨了ACL的工作机制,包括其定义、作用、种类、结构以及在不同操作系统中的实现差异。接着,文章详细阐述了在Windows和Linux环境中配置与管理ACL的实践操作,强调了...
群晖ACL是什么
最新发布
09-29
- 域用户(通过LDAP/AD集成) - **权限类型(Permissions)**: - 基础权限:读取(`read`)、写入(`write`)、执行(`execute`) - 高级权限:删除(`delete`)、更改权限(`change_permissions`)、获取所有权...
LDAP ACL(OpenLDAP)
一步一个脚印的专栏
05-24 7154
OpenLDAP ACL
LDAP ACL细节处理
老实人的博客
07-23 1363
LDAP 细节—ACL 权限控制 针对 LDAP 需要多管理员模式,记性 ACL 权限控制。 修改已经存在的 LDAP 配置文件加入 ACL 控制 # cat acl.ldif dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcAccess olcAccess: to attrs=userPassword by dn="cn=manager,dc=magic,dc=com" write by dn.children="ou
Linux OpenLDAP配置ACL
justlpf的专栏
01-26 520
版本 CentOS。
openldap ACL设置
weixin_33882452的博客
11-21 255
1、语法语法access to what: by who access control 其中,access to指示启用访问控制,上句大致可以理解为: access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+2、控制目标 what 这一域主要是实现对A...
17.OpenLDAP配置ACL
csy228779856的博客
06-24 567
/etc/openldap/openldap/slapd.conf配置ACL时,应使用固定的格式: ::= access to [ by [ ] [ ] ]+ ---------参数what---------------...
windows下对LDAP实现增删改查(一)
芒果黑的博客
04-01 1434
LDAP提供标准的访问协议,采用的是ASN.1协议格式,不是很好理解,不过应用层方面提供c/c++的api,可以很方便的使用 windows下可以使用微软提供的一系列接口,MSDN文档介绍可查看 库的使用 打开MSDN的文档,随便打开一个接口,在接口介绍底部会说明使用的库及头文件 使用时需包含头文件winldap.h 链接库Wldap32.lib #pragma comment(lib,"Wldap32.lib") Qt的也可以在pro文件添加 LIBS += -lWldap32
修改Windows AD的LDAP查询限制
weixin_33775572的博客
05-27 871
默认情况下,Windows Server中默认的将LDAP的查询数量限制为1000个,可以通过一下方式进行LDAP查询数量的修改:1、登录域控服务器,然后在CMD命令行模式下输入:ntdsutil,打开目录服务维护工具:2、输入:ldap policies3、依次输入:connections——>connect to domain xxx(当前域名),绑定到当前域的policies,最后...
LDAP快速入门
db20092758的博客
08-28 2221
LDAP快速入门 1. LDAP简介   LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值