我想创build几个有权访问特定组/组织单位的用户的用户。 例如,
User: uid=testadmin, ou=people, dc=my,dc=net 应该有权限创build新用户/删除用户
ou=People,dc=my,dc=net
我尝试下面的ACI,但没有工作
(target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");)
我可以从Directory Server控制台添加pipe理用户,但是这个用户数据并不存储在ldif文件中,只存储在二进制数据库的/ var / lib / dirsrv / slap-ldap / db /目录中。 唯一的问题是这些用户有全部的权力,我不知道如何限制他们的访问。
那么回答是非常简单和合乎逻辑的。 为了为特定OU提供ACI。 在这种情况下,用户sm具有目录ou =支持组下的所有权利。
(targetattr = "*") (target = "ldap:///ou=Support Group,dc=my,dc=net") (version 3.0; acl "sm aci"; allow (all) (userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net") ;)
target:指定应用规则的位置。
targetattr:可以用来限制对条目各种属性的访问。 比如你的“sm”用户不能更改密码这个东西你可以在这里指定。
allow():指定权限
最后一个userdn(绑定规则):指定谁有权限。 通过这种方式,您可以轻松地授予其他用户访问权限以pipe理自己的组用户凭据。
testing它将完美地工作: –
(targetattr = "*") (target = "ldap:///ou=linux,dc=pramod,dc=com")(version 3.0;acl "pramod aci"; allow (write)(userdn = "ldap:///uid=pkumar,ou=linux,dc=pramod,dc=com") ;)
按照此acl用户,pkumar能够修改属于组织单元(ou)linux的所有专有名称(dn)的所有属性。 如果你想给所有的权利只是改变(write)到(all) 。 如果你想给基地的权利,只要从目标移除ou=linux 。