RH423-5 LDAP的ACI

 LDAP的ACIAccess Control Instructions访问控制指南)

一、 ACI的特点

1、 继承性:一个条目会继承其父条目及其以上条目的aci策略,且继承策略和自身策略地位平等。

2、 如果拒绝策略与允许策略相冲突时,拒绝优先。

二、 ACI语法格式

1、 语法格式:aci (target)(version 3;acl “name”; permission bind_rules;)

 如:

[root@station2 ~]# vi anon-aci.ldif

dn: dc=station2,dc=example,dc=com

changetype: modify

add: aci

aci: (target ="ldap:///dc=station2,dc=example,dc=com")(targetattr !="userpasswd ||

mail || dn")(version 3.0;acl "everyone access";allow (read,compare,search)(userdn=

"ldap:///anyone");)

[root@station2 ~]# ldapmodify -x -ZZ -f anon-aci.ldif -W

Enter LDAP Password:

modifying entry "dc=station2,dc=example,dc=com"

三、 语法各项说明

1、 target指定了ACI要控制访问的目标属性(集合)或条目(集合)。target可以用DN,一个或多个属性,或者一个filter来定义。它是一个可选项。

target语法是:关键字 <op> 表达式 
target
关键字表 

如:

·        一个条目或其子条目作为target

(target=”ldap:///ou=People,dc=station2,dc=example,dc=com”)

·        一个条目的属性作为target:

targetattr=”userPassword || mail || mobile”

·        满足过滤规则的所有条目作为target:

(targetfilter=”(postalCode=27606)”

 

2、  version 3.0 这是一个必须的常量字窜,用以识别ACI的版本。 

3
name 指定ACI的名称,可以使任意的字窜,只要区别于同一个条目aci属性下的其他ACI,这是一个必须属性。 

4
permission 指定权限许可。 
权限包括 readwritemodify)、adddeletesearchcompare(测试属性值)、selfwrite proxy all,其中要能search必须先满足readall表示出了proxy之外的所有操作。 
权限语法 allow | deny (权限

5
bind_rules 绑定规则。绑定规则定义了何人、何时,以及从何处可以访问目录。绑定规则可以是如下规则之一:

被授予访问权限的用户、组以及角色

实体必须从中绑定的位置

绑定必须发生的时间或日期

绑定期间必须使用的验证类型

绑定规则语法 keyword = 或者 != "expression"; (注:timeofday 关键字也支持不等式<<=>>=)。 
LDIF
绑定规则关键字表 

 

四、 设计ACI要点

1、 尽量少设计ACI

2、 尽量将ACI引用在根或者主要的条目上

3、 避免明确拒绝策略

4、 尽量保持短属性

5、 小心使用(尽量不使用)search filter

6、 注意给ACI定义一个名称

五、 ACI实例

1.   用户zhangsan 123具有修改其自己的目录条目中所有属性的权限。

aci: (target="ldap:///dc=station2,dc=example,dc=com")(targetattr=*)(version 3.0; acl "zhangsan ACI"; allow (selfwrite)(userdn= "ldap:///uid=zhangsan123,ou=People,dc=station2,dc=example.com,dc=com");)

#该策略应用在根条目上

 

2.   允许 Engineering Admins 组的成员修改 Engineering 业务类别中所有条目的 departmentNumber manager 属性

aci:(targetattr="departmentNumber || manager")(targetfilter="(businessCategory=Engineering)") (version 3.0; acl "eng-admins-write"; allow (write) groupdn ="ldap:///cn=Engineering Admins, dc=station2,dc=example,dc=com";)

 

3.   允许匿名用户对o=NetscapeRoot下的条目读取和搜索 aci:(targetattr="*")(targetfilter=(o=NetscapeRoot))(version 3.0; acl "Default anonymous access"; allow (read, search) userdn="ldap:///anyone";)

 

4.   向所有经过验证的用户授予对整个树的读取访问,可以在dc=example,dc=com 节点创建下列 ACI

 aci:(version 3.0; acl "all-read"; allow (read)userdn="ldap:///all";)

 

5.   允许对整个 example.com 树进行匿名读取和搜索访问,可以在dc=example,dc=com 节点创建下列 ACI

aci:(version 3.0; acl "anonymous-read-search";allow (read, search) userdn = "ldap:///anyone";)

 

6.   授予Administrators 组对整个目录树写入的权限,则可以在 dc=example,dc=com 节点创建下列 ACI

aci:(version 3.0; acl "Administrators-write"; allow (write) groupdn="ldap:///cn=Administrators,dc=station2,dc=example,dc=com";)

 

 

你可能感兴趣的:(LDAP,休闲,rhca,rh423,访问控制aci)