ACI权限控制
ACI(Access Control Instruction)访问控制指令是LDAP 服务中用以控制用户访问权限的有力手段。在目录的Entry中,aci属性记录了对该条目的多条访问控制指令。(aci属性是一个多值操作属性,可以赋予任意的LDAP条目)
ACI的语法格式如下 :aci: (target)(version 3.0;acl "name";permission bind_rules;)
target 指定了ACI要控制访问的目标属性(集合)或条目(集合)。target可以用DN,一个或多个属性,或者一个filter来定义。它是一个可选项。
target语法是: 关键字 <op> 表达式
target关键字表
(更多详细的target用法,请参阅 Sun ONE Directory Server 5.2 Administration Guide )
version 3.0 这是一个必须的常量字窜,用以识别ACI的版本。
name 指定ACI的名称,可以使任意的字窜,只要区别于同一个条目aci属性下的其他ACI,这是一个必须属性。
permission 指定权限许可。
权限包括 :read、write、add、delete、search、compare、selfwrite、 proxy 或 all,其中all表示出了proxy之外的所有操作。
权限语法 :allow | deny (权限)
bind_rules 绑定规则。绑定规则定义了何人、何时,以及从何处可以访问目录。绑定规则可以是如下规则之一:
ACI(Access Control Instruction)访问控制指令是LDAP 服务中用以控制用户访问权限的有力手段。在目录的Entry中,aci属性记录了对该条目的多条访问控制指令。(aci属性是一个多值操作属性,可以赋予任意的LDAP条目)
ACI的语法格式如下 :aci: (target)(version 3.0;acl "name";permission bind_rules;)
target 指定了ACI要控制访问的目标属性(集合)或条目(集合)。target可以用DN,一个或多个属性,或者一个filter来定义。它是一个可选项。
target语法是: 关键字 <op> 表达式
target关键字表
(更多详细的target用法,请参阅 Sun ONE Directory Server 5.2 Administration Guide )
version 3.0 这是一个必须的常量字窜,用以识别ACI的版本。
name 指定ACI的名称,可以使任意的字窜,只要区别于同一个条目aci属性下的其他ACI,这是一个必须属性。
permission 指定权限许可。
权限包括 :read、write、add、delete、search、compare、selfwrite、 proxy 或 all,其中all表示出了proxy之外的所有操作。
权限语法 :allow | deny (权限)
bind_rules 绑定规则。绑定规则定义了何人、何时,以及从何处可以访问目录。绑定规则可以是如下规则之一:
- • 被授予访问权限的用户、组以及角色
- • 实体必须从中绑定的位置
- • 绑定必须发生的时间或日期
- • 绑定期间必须使用的验证类型
扫一扫
1835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
