Openldap 访问控制列表

最新推荐文章于 2023-09-25 13:17:40 发布
最新推荐文章于 2023-09-25 13:17:40 发布
阅读量601 收藏
点赞数
分类专栏: LDAP 文章标签: access regex filter 正则表达式 search domain

http://bbs.chinaunix.net/viewthread.php?tid=926041


这些是我的个理解,其中或许不当之处还很多,大家讨论一下……

1 语法

access to <what>[by <who> <access> <control>]+

其中,access to指示启用访问控制,上句大致可以理解为:
access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+


2 剖析

2.1 控制目标<what>

这一域主要是实现对ACL应用对象的指定,对象可以是记录和属性。选择ACL目标记录的方法一般有两种:DN和filter,语法为:

<what> ::= * |
                [dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
                [filter=<ldapfilter>] [attrs=<attrlist>]
2.1.1 指定所有的记录

access to *

2.1.2 通过DN指定

语法如下:

to dn[.<basic-style>]=<regex>
<basic-style> ::= regex | exact
        
to dn.<scope-style>=<DN>
<scope-style> ::= base | one | subtree | children

第一种方法是使用正则表达式(dn.regex)或精确匹配(dn.style)的方式来匹配符合条件的记录(这个好像不像想象的那么简单,实现起来颇为费脑筋),例如:

access to dn="^.*,uid=([^,]+),ou=users,(.*)$"


第二种方法通过“区域”选择的方法进行目标记录的选取,对以指定的DN开始的目录树区域进行目标记录匹配。匹配区域的方式共有四种:
base                只匹配DN本身一条记录
one                匹配以给定DN为父目录的所有记录
subtree                匹配以给定DN为根目录的所有子树内的记录
children        匹配给定DN下的所有记录,但应该不包括以DN直接命名的那条记录(参见例子的解释)

例如:对于

0: dc=mydomain,dc=org
1: cn=root,dc=mydomain,dc=org
2: ou=users,dc=mydomain,dc=org
3: uid=samba,ou=users,dc=mydomain,dc=org
4: cn=Administator,uid=samba,ou=users,dc=mydomain,dc=org
5: uid=guest,ou=users,dc=mydomain,dc=org

规则 dn.base="ou=users,dc=mydomain,dc=org" 只会匹配记录2
规则 dn.one="ou=users,dc=mydomain,dc=org" 匹配记录3和记录5,记录4是记录3的子目录,故不算在内
规则 dn.subtree="ou=users,dc=mydomain,dc=org" 匹配记录2、3、4、5
规则 dn.children="ou=users,dc=mydomain,dc=org" 匹配记录3、4、5,因为记录0、1和2都是以DN直接命名的,故不匹配

2.1.3 通过filter匹配记录

通过filter指定过滤规则进行记录过虑,语法如下:

access to filter=<ldap filter>

其中filter指定的为search的过滤规则,这类同于linux系统中grep的匹配方式。如:

access to filter=(objectClass=sambaSamAccount)

也可以结合使用DN和filter进行记录的匹配,例如:

access to dn.subtree="ou=users,dc=mydomain,dc=org" filter=(objectClass=posixAccount)

2.1.4 通过attrs选取匹配记录

语法:
attrs=<attribute list>

例如:
access to attrs=uid,uidNumber,gidNumber

也可以结合使用DN和attrs进行记录的匹配,例如:
access to dn.subtree="ou=users,dc=mydomain,dc=org" attrs=uid

2.2 被用来授权的访问者<who>的指定

指定被授权的用户范围的方法大致有以下几种:
*                        所有的访问者,包括匿名的用户
anonymous                非认证的匿名用户
users                        认证的用户
self                        目标记录的用户自身
dn[.<basic-style>]=<regex>        在指定目录内匹配正则表达式的用户
dn.<scope-style>=<DN>                指定DN内的用户

例如:
by dn.subtree="ou=users,dc=domain,dc=org"="^samba*"

2.3 被授予的权限<access>

当选取好ACL作用的目标记录并选取好用户范围后,就该给这些用户授予他们应该得到的权限了。大致的权限(由低到高)有以下几类:
none        无权限,即拒绝访问
auth        访问bind(认证)设置的权限;前提是需要用户提交一个DN形式的用户名并能通过认证
compare        比较属性的权限;(例如:对照查看某用户的telephoneNumber值是不是158 8888 8888),但并不具有搜索的权限
search        利用过虑条件进行搜索的权限,但这并不一定具有可读取搜索结果的权限
read        读取搜索结果的权限
write        更改记录属性值的权限

可以在slapd.conf文件中通过defaultaccess指定默认的权限级别,如:
defaultaccess        search

2.4 采取什么样的匹配控制动作<control>

在进行记录的匹配时,如果有多条规则存在,那么在第一次匹配产生后是否还进行后续的匹配或采取其它的动作将取决于此项的设置;控制方式共有以下三种:

stop                这个是默认值,这表示在一次匹配产生后将不再进行下一个匹配,所有后续的匹配将会停止。
continue        无论匹配是否已经发生,继续进行直到所有的规则全部进行完匹配检查
break                一个匹配发生后,跳出当前的子句进行后一个子句的检查

2.5 一个例子

access to dn.chilren="ou=users,dc=mydomain,dc=org"
    attrs=userPassword  #指定“密码”属性
    by self write       #用户自己可更改
    by * auth           #所有访问者需要通过认证
    by dn.children="ou=admins,dc=mydomain,dc=org" write  #管理员组的用户可更改

2.6 官方给出的完整语法

<access directive> ::= access to <what>
                [by <who> <access> <control>]+
        <what> ::= * |
                [dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
                [filter=<ldapfilter>] [attrs=<attrlist>]
        <basic-style> ::= regex | exact
        <scope-style> ::= base | one | subtree | children
        <attrlist> ::= <attr> [val[.<basic-style>]=<regex>] | <attr> , <attrlist>
        <attr> ::= <attrname> | entry | children
        <who> ::= * | [anonymous | users | self
                        | dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
                [dnattr=<attrname>]
                [group[/<objectclass>[/<attrname>][.<basic-style>]]=<regex>]
                [peername[.<basic-style>]=<regex>]
                [sockname[.<basic-style>]=<regex>]
                [domain[.<basic-style>]=<regex>]
                [sockurl[.<basic-style>]=<regex>]
                [set=<setspec>]
                [aci=<attrname>]
        <access> ::= [self]{<level>|<priv>}
        <level> ::= none | auth | compare | search | read | write
        <priv> ::= {=|+|-}{w|r|s|c|x|0}+
        <control> ::= [stop | continue | break]

islandstar
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenLDAP访问控制示例
05-06
OpenLDAP访问控制的示例,当然由于机器和测试数据不同,仅供示意,具体要联系文章来操作。
OPENLDAP 访问控制
ssl vpn ------adito (ssl explorer) (openvpn als)&amp;amp;&amp;amp;网络安全
01-10 3151
 1 语法access to [by ]+其中,access to指示启用访问控制,上句大致可以理解为:access to [by ]+2 剖析2.1 控制目标这一域主要是实现对ACL应用对象的指定,对象可以是记录和属性。选择ACL目标记录的方法一般有两种:DN和filter,语法为: ::= * |
openldap访问控制
yyp1998的博客
09-25 383
系统:debian12。
Java实现根据ou名次查询该ou下的所有用户,或者按照名称模糊查询
业精于勤荒于嬉;行成于思,毁于随。
04-05 3361
最近有个需求是需要按照ou名称查询所有的用户,不要求层级嵌套,即a下有b,b下有c,输入a只需要查询a下面的就可以了。 第一次接触ldap这个东东,在网上搜了下资料,大部分的需求都是和我的不一样。 要么都是直接查询所有的用户,或者是直接查询所有的ou。 1、刚开始想,既然能获取到所有的用户,那就先把所有用户获取过来在根据用户所属的ou进行过滤吧, 虽然这样可以做到,但是,总感觉这不太好,有
LDAP介绍和使用ACL示例
飞扬大哥哥的技术人生
03-17 1144
本教程向您演示了如何创建一个基于 LDAP 的后端来存储多个应用程序可以方便共享的联系人信息。同时,我们提供了 LDAP 基础知识的概述,并向您介绍了一个预先构建的联系人管理工具,该工具将帮助您着手使用这一开放技术。预备知识 读者应基本掌握一般管理任务方面的知识及其概念。包括诸如设置权限、管理用户账户、移动和复制文件、创建符号链接等任务。要执行本教程中的示例,您必需正确安装和配置 Linux 系统
openldap-2.5.4
07-05
openldap-2.5.4
openldap 开启TLS全步骤
06-05
openldap 开启TLS全步骤
OpenLDAP文档.pptx
05-10
OpenLDAP文档.pptx
openldap安装手册.docx
11-02
含搭建流程 automount nfs sudo autofs自动挂载 ssh
openldap介绍
SandayH的专栏
08-31 787
 openldap介绍一、Directory Services(目录服务)能做什么?    我们知道,当局域网的规模变的越来越大时,为了方便主机管理,我们使用DHCP来实现IP地址、以太网地址、主机名和拓扑结构等的集中管理和统一分配。同 样,如果一个局域网内有许多的其它资源时,如打印机、共享文件夹等等,为了方便的定位及查找它们,一种集中定位管理的方式或许是较好的选择,DNS和 NIS都是用来实
Linux 安装并配置 OpenLDAP 新编(5)访问控制
05-06 695
OpenLDAp中的访问控制,如何再OpenLDAP中配置用户权限。
openldap ACL设置
weixin_34004750的博客
11-09 349
1、语法语法 access to what: by who access control 其中,access to指示启用访问控制,上句大致可以理解为: access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+ 2、控制目标 w...
openldap介绍以及使用
罗伯特是疯子丶
05-22 4418
openldap的介绍、部署、及使用详情
openldap设置ACL
黑猫警长
02-10 6329
安装好了openldap之后,就是对它进行配置了,其中一项就是设置访问控制,限制普通用户只能修改/访问他们能修改/访问的项。
OpenLDAP:用ACL控制访问权限
corpsin的专栏
12-21 4448
用ACL控制授权 我们在LDAP中创建目录树后,最感兴趣的就是如何控制用户在目录树中的权限(读写)。谁在什么条件下有记录权限,我们有权限看到哪些信息。ACL(Access Control List)访问控制列表就是解决用户权限问题的。 我们要把ACL写在哪里?ACL写在OpenLDAP的服务端全局配置文件slapd.conf中,如下这段即为其指令: # access
OpenLDAP使用ACL命令禁止匿名登录
u013711357的博客
10-28 1726
1.因功能需求问题,需要实现OpenLDAP的匿名登录问题,在网上查看实现方式,大部分都是使用脚本实现 ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF dn: cn=config changetype: modify add: olcDisallows olcDisallows: bind_anon EOF ldapmodif...
openldap主机访问控制(基于用户组)
weixin_30471065的博客
10-14 396
openldap主机访问控制(基于用户组) 建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: ou=host,dc=suntv,dc=tv ou: host objectClass: organiz...
openldap 2.4
最新发布
12-21
它还提供了强大的搜索功能和ACL(访问控制列表)支持,可以帮助管理员对数据进行精细的管理。 总的来说,OpenLDAP 2.4是一款功能强大、稳定可靠的LDAP服务器软件,它可以满足各种规模的企业和组织对目录服务的需求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值