我试图设置一个OpenLDAP服务器用于testing和演示目的 – 我的团队需要添加LDAP连接到我们的产品,所以我们希望有一个我们可以validation的LDAP服务器。 不幸的是,能够开发和testing针对LDAP人员和组的validation和授权是不够的。 我们也需要能够向潜在客户展示这种能力。 在这些演示中,我们需要能够在浏览器(如JXplorer)中显示LDAP树。 我的问题是,因为configuration数据库和任何用户数据库必须以不同的namingContexts开始,当连接build立时,具有不同域的两个条目出现在JXplorer(或任何其他浏览器)中。 在这种情况下如何隐藏configuration数据库? 我一直在寻找编辑访问控制列表,但我所看到的大多数例子都只关心拒绝访问特定的属性…
dn: olcDatabase={0}config,cn=config olcAccess: {0}to * by * none 将只允许olcDatabase={0}config,cn=config的olcDatabase={0}config,cn=config对数据库cn=config执行任何操作。 olcRootDN从olcRootDN访问限制。
从OpenLDAP的ACL文档 :
有两个特殊的伪属性项和子项。 要读取(因此返回)目标条目,主题必须具有对目标的条目属性的读取权限。 要执行search,主题必须具有对search基础的入口属性的search访问权限。 要添加或删除条目,主题必须具有对条目的条目属性的写入权限,并且必须具有对条目的父级的子属性的写入权限。 要重命名条目,主题必须具有对条目的条目属性的写入权限,并具有对旧父条目和新父条目的子属性的写权限。 本节结尾处的完整示例应该有助于清除问题。
最后,还有一个特殊的条目select器*用于select任何条目。 当没有提供其他select器时使用它。 这相当于“dn =。*”
只需填写您要演示的数据库的JXplorer连接对话框的Base DN字段,并将其保存为模板即可。 然后JXplorer将只显示该基本DN的LDAP树。