组访问控制的例子
考虑一组名称,带"member"和"owner"属性.我们要"owner"能够管理组,
"members"能自由地加入和退出,而且应用程序能读取"members"以完成工作.可
能的解决是:
access to dn.exact=“cn=My Group,ou=Groups,dc=example,dc=com”
attrs=member
by dnattr=owner write
by dnattr=member selfwrite
by dn.regex=“cn=[^,]+,ou=Apps,dc=example,dc=com” read
by * none
权限和特权
有两种方式定义访问权限.第一种方法是基于权限分级的概念,只在老的版
本中使用.每一级访问级别被包含在下一级中.例如,读权限包含了查询权限. 访
问级别的名称或多或少地描述自己的含义,只有 auth 是用来向目录绑定.
大部分情况下,访问等级正是你所需要的.无论如何,是存在某些不能用访问
等级快速设置的访问策略的,比如有写权限但拒绝其他访问. 密码等认证信息经
常是这样的:给拥有者写权限,给匿名者认证权限,拒绝其他访问.你不能通过访
问等级做到这点.