資源描述:
《openldap用acl控制訪問權(quán)限》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1���、OpenLDAP:用ACL控制訪問權(quán)限說明:這段時間我在學(xué)習(xí)Openldap的知識�����,關(guān)于訪問控制權(quán)限這一塊遇上較大的麻煩����。我在網(wǎng)上看到了一些人的帖子���,有些寫的不錯����,有些寫的不全��,還有些完全是照抄別人的����,還不注明出處���。因此我把我搜集到的東西整理出一個文檔,獻(xiàn)給各位正在學(xué)習(xí)openldap的朋友�����,我的初衷是回饋社會��,支持免費和開源�����,水平有限��,諸多包涵���。我所引用到的東西��,我都將注明出處�����,感謝提供我信息的人����,我想說,youarethegreatest��。第一部分語法綜述1.用ACL控制授權(quán)我們在LDAP中創(chuàng)建目錄樹后,最感興趣的就是如何控制用戶在目錄樹中的權(quán)限(讀寫)���。誰在什么條件下有記錄權(quán)限,我們有權(quán)
2���、限看到哪些信息���。ACL(AccessControlList)訪問控制列表就是解決用戶權(quán)限問題的。2.我們要把ACL寫在哪里�?ACL寫在OpenLDAP的服務(wù)端全局配置文件slapd.conf中,如下這段即為其指令:#accesstodn.base=""by*read#accesstodn.base="cn=Subschema"by*read#accessto*#byselfwrite#byusersread#byanonymousauth也可以寫在一個單獨的文件中�,如access.conf,然后在全局配置文件slapd.conf中調(diào)用���,在配置文件中引入這個文件即可�,如下:include/etc
3����、/openldap/access.confinclude后面的路徑為該文件的放置地址��。3.ACL語法基礎(chǔ)怎么看懂ACL指令�?首先看下ACL訪問指令的格式:################################################accessto[resources]by[who][typeofaccessgranted][control]by[who][typeofaccessgranted][control]#More'by'clauses,ifnecessary....################################################指令
4���、中包含1個to語句�,多個by語句����。這個指令的大體意思是,通過accessto約束我們訪問的范圍(resources)����,通過by設(shè)定哪個用戶(who)獲取對這個約束范圍有什么權(quán)限(typeofaccessgranted),并控制(control)這個by語句完成后是否繼續(xù)執(zhí)行下一個by語句或者下一個ACL指令。Accessto[resources]resources可以有多種形式����,如DN,attrs��,F(xiàn)ilters.以下即詳細(xì)說明����。3.1.通過約束DN進(jìn)行訪問(同層級訪問)如下所示,accesstodn="uid=matt,ou=Users,dc=example,dc=com"by*none這個
5���、指令是指訪問uid=matt,ou=Users,dc=example,dc=com這個DN�����,即把訪問的范圍約束在這個DN中�����。by*none是指對于任何人的訪問都是拒絕的����??傮w的意思就是,任何人都沒有權(quán)限訪問uid=matt,ou=Users,dc=example,dc=com這個DN���,當(dāng)然����,服務(wù)器管理員是可以訪問的��,不然它無法維護(hù)這個OpenLDAP中的用戶信息����。再來看一個���,accesstodn.subtree="ou=Users,dc=example,dc=com"by*none在這個例子中,我們用了dn.subtree�����。在我們的目錄信息樹中��,在ou=Users子樹下可能有多個用戶���。舉例來說
6����、����,DN為uid=matt,ou=Users,dc=example,dc=com就是ou=Users,dc=example,dc=com的子樹,當(dāng)要試圖訪問他時����,這個ACL指令就起了作用??傮w的意思是,任何人都沒有權(quán)限訪問ou=Users��,dc=example,dc=com以及其子樹的信息。#######################################################################dn.base:RestrictaccesstothisparticularDN.Thisisthedefault,anddn.exactanddn.baselevel
7����、aresynonyms(同義詞)ofdn.base.dn.one:RestrictaccesstoanyentriesimmediatelybelowthisDN.dn.onelevelisasynonym.dn.children:Restrictaccesstothechildren(subordinate)entriesofthisDN.Thisissimilartosubtree,excep
