查看跟DN下的aci

  ldapsearch -h hostname -p port -D "cn=Directory Manager" -w - -b "BASE_DN" "(objectclass=*)" aci

Aci语法:

  aci: [list of (target)](version 3.0; acl "name";[list of "permission bindRules;"])

  参数说明:   

    target:可以使条目,属性,多个条目或者属性,可以通过filter进行匹配的条目和属性。该属性可选,如果没有指定,则针对子树(subtree)下所有条目。

    name:用于却分每个aci唯一标识,但是对名字没有限制。尽量保持aci名字的唯一性,不要重复。当不能确定aci是否生效可以通过Get Effective Rights查看,这时aci的名字就起作用了。

    permission:aci对应的可操作权限

    bindRules:指定那些条目具有使用该aci。

Aci targets语法

  (keyword = " expression")

  Keyword :可以使如下:target ,tartetattr,targetfilter,targettrfilters,targetscope
  expression:可以使用“=”和“!=” 但是当keyword是targettrfilters和targetscope时不能使用"!="
例如:
  (target = "ldap:///uid=bjensen,ou=People,dc=example,dc=com") :目标条目为uid=bjensen的条目的所有属性,
    使用如下filter均可匹配该条目
  (target= "ldap:///uid=bj*,ou=people,dc=example,dc=com")   
  (target= "ldap:///uid=*,ou=people,dc=example,dc=com") 
  (target= "ldap:///*,ou=people,dc=example,dc=com")
  (target= "ldap:///uid=bjensen,*,dc=com")
  (target= "ldap:///uid=bjensen*")

Aci targetattr语法
  (targetattr = "attribute") or (targetattr != "attribute")
  如果targetattr没有出现则表示不匹配任何属性;如果要匹配所有属性需写:targetattr="*"
  匹配多个属性书写规则如下:
  (targetattr = "attribute1 || attribute2|| ... attributeN")
Aci targetfilter语法
  根据filter来搜索所有匹配的条目:(targetfilter = "(standard LDAP search filter)")
  例如:
  (targetfilter = "(|(status=contractor)(fulltime<=79))") :status=contractor并且filltime小于等于79的条目
Aci targattrfilters语法
  指定哪些属性的值可以被添加,删除,修改:(targattrfilters="add=attr1:F1 && attr2:F2... && attrn:Fn, del=attr1:F1 && attr2:F2 ... && attrn:Fn")
  参数说明:
  add
    添加属性值
  del
    删除属性值
  attrn
    替换或更新属性值
  Fn
    仅对关联的属性生效
Aci targetscope语法
  (targetscope="base")

  base
    aci仅作用于目标资源
  onelevel
    aci仅作用于目标资源和他的第一个子树
  subtree
    aci作用于目标资源和所有子树
  如果targetscope关键字没有指定,默认值为subtree。
Aci rights
  read ,write,add,delete,search,compare,selfwrite,proxy,import,export,All

Aci 示例

  1)允许匿名访问除userPassword之外的所有条目的属性:

    aci: (targetattr !="userPassword")(version 3.0; acl "Anonymous example"; allow (read, search, compare)userdn= "ldap:///anyone" ;)

  2) 允许自己修改自己的部分属性:

    aci: (targetattr="homePhone || homePostalAddress")(version 3.0; acl "Write Example.com"; allow (write) userdn="ldap:///self" ;)

  3)允许cn=HRGroup的组访问所有ou=People,dc=example,dc=cr下的所有条目(假设aci在ou=People,dc=example,dc=cr下):

    aci: (targetattr="*") (version 3.0; acl "HR"; allow (all)  groupdn= "ldap:///cn=HRgroup,ou=Groups,dc=example,dc=com";)

  4)允许ou=People下任何用户在ou=Social Committee,dc=example,dc=com下添加组(可以自己的需求更改objectClass对应的类,达到添加动态组和静态组):

    aci: (targetattr="*") (targattrfilters="add=objectClass:(|(objectClass=groupOfNames)(objectClass=top))")(version 3.0; acl "Create Group"; allow (read,search,add) userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") and dns="*.Example.com";)

    从aci的权限可以看出,词条aci并没有赋予用户修改权限,即只能添加,不能修改

  5)允许组管理员修改,删除组操作ou=Social Committee,dc=example,dc=com下的组,假设该条aci在ou=Social Committee,dc=example,dc=com下:

    aci: (targetattr = "*") (targattrfilters="del=objectClass:(objectClass=groupOfNames)") (version 3.0; acl "Delete Group"; allow (write,delete) userattr="owner#GROUPDN";)

  6)允许用户自己修改自己的member属性,假设该aci添加在ou=Social Committee,dc=example,dc=com条目下:

    aci: (targettattr="member")(version 3.0; acl "Group Members"; allow (selfwrite) (userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") ;)

  可以根据自己的需要做适当调整,来满足对用户权限的控制。

查看aci是否生效

  当完成一个aci的定义并把aci添加到对应的作用范围后,如果不确定aci是否生效可以使用view effective rights,使用ldapsearch命令可以查看对应的作用域下的所有条目该aci是否生效,操作命令如下:

  ldapsearch -J "1.3.6.1.4.1.42.2.27.9.5.2" -h host1.Example.com -p 389 -D "uid=Directory Manager" -w - -b "dc=example,dc=com" "(objectclass=*)" aclRights

  参数说明:  

    -J:默认值

    -D:使用搜索绑定的用户

    -b:base DN

  搜索结果类似如下:如果用户对条目没有操作权限,则不会显示出来。  

  dn: dc=example,dc=com
  aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0
  dn: ou=Groups, dc=example,dc=com
  aclRights;entryLevel: add:0,delete:0,read:1,write:0,proxy:0

  如果通中类型的aci较多,也可以使用宏匹配的方式进行。具体可以参考:docs.oracle.com/cd/E29127_01/doc.111170/e28972/ds-access-control.htm

  

  




 
												


											
ldap数据库--ODSEE--ACI的更多相关文章
	

    
						
  1. ldap数据库--ODSEE--suffix
		
    ldap数据库的suffix是建立ldap之间复制协议的基础,suffix的创建也可以通过管理界面进行,也可以通过命令行进行.不同点是通过管理界面创建的suffix会自动创建一条对应该suffix的匿 ...
    
		
    2. 
						
  2. ldap数据库--ODSEE--安装
		
    在安装之前最好查看一下服务器硬件是否满足要求,是否需要更改一些系统配置来达到使用ldap数据库的最有性能.实际使用的ldap数据库是oracle的产品,DS70即ODSEE. 安装环境:solaris ...
    
		
    3. 
								
  3. ldap数据库--ODSEE--复制协议
		
    简单介绍一下ODSEE的复制拓扑的建立,复制协议可以通过管理界面进行创建,也可以通过命令行创建.在此之前需要了解一些复制协议的相关概念,这里针对OESEE. 1,复制角色 master(提供者,也可以 ...
    
		
    4. 
						
  4. ldap数据库--ldapsearch,ldapmodify
		
    简单介绍一下ldapsearch命令,在ldap搜索条目时很有用,只要适当调整filter就可以. 命令如下: ldapsearch -h hostname -p port -b baseDN -D  ...
    
		
    5. 
						
  5. ldap数据库--ODSEE--schema
		
    ldap服务器包含上百个对象类型(object class)和属性,这些对象类和属性都可以满足大部分需求,如果你想定义自己的schema,你只能继承扩展现有的schema进行操作. tip: 增加的新 ...
    
		
    6. 
						
  6. ldap数据库--ODSEE--卸载
		
    针对ldap实例的卸载,即删除,可以通过管理界面进行操作也可以通过命令行进行操作.卸载顺序为ldap实例--agent--ads.这里主要介绍命令操作步骤 1,ldap实例卸载 从ads注销,即不在需 ...
    
		
    7. 
						
  7. LDAP分布式数据库的介绍和安装使用
		
     目录服务 目录是一个为查询.浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样.目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没 ...
    
		
    8. 
						
  8. LDAP介绍
		
    摘自: http://www.blogjava.net/allen-zhe/archive/2007/03/19/104740.html LDAP介绍 原文:http://ldapman.org/ar ...
    
		
    9. 
						
  9. LDAP协议介绍
		
    LDAP协议基础概念  1. 从用途上阐述LDAP,它是一个存储静态相关信息的服务,适合"一次记录多次读取".经常使用LDAP服务存储的信息: 公司的物理设备信息(如打印机,它的I ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Naive and Silly Muggles    hdu4720
			
    Naive and Silly Muggles Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/ ...
    
			
    2. 
						
  2. Redis 的安装与使用
			
    环境:CentOS 6.6 Redis 版本:redis-3.0 (考虑到 Redis3.0 在集群和性能提升方面的特性,rc 版为正式版的候选版,而且很快就出正式版) 安装目录:/usr/local ...
    
			
    3. 
						
  3. 【JAVA零基础入门系列】Day2 Java集成开发环境IDEA
			
    开发环境搭建好之后,还需要一个集成开发环境也就是IDE来进行编程.这里推荐的IDE是IDEA,那个老掉牙的Eclipse还是先放一边吧,(手动滑稽). IDEA的下载地址:http://www.jet ...
    
			
    4. 
						
  4. sql的存储过程使用详解--基本语法
			
    存储过程简介 SQL语句需要先编译然后执行,而存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给定参数(如果该存储 ...
    
			
    5. 
						
  5. Ubuntu 16.04源码编译安装nginx 1.10.0
			
    一.下载相关的依赖库 pcre 下载地址 http://120.52.73.43/jaist.dl.sourceforge.net/project/pcre/pcre/8.38/pcre-8.38.t ...
    
			
    6. 
						
  6. C#仪器数据文件解析-RTF文件
			
    RTF格式文件大家并不陌生,但RTF文件的编码.解码却很难,因为RTF文件是富文本格式的,即文件中除了包含文本内容,还包含文本的格式信息,而这些信息并没有像后来的docx等采用XML来隔离格式和内容, ...
    
			
    7. 
						
  7. YYHS-Super Big Stupid Cross(二分+扫描线+平衡树)
			
    题目描述 “我是超级大沙茶”——Mato_No1 为了证明自己是一个超级大沙茶,Mato 神犇决定展示自己对叉(十字型)有多么的了 解. Mato 神犇有一个平面直角坐标系,上面有一些线段,保证这些线 ...
    
			
    8. 
						
  8. 使用Dapper操作Mysql数据库
			
    首先我想说明一下:相比最原始的ADO.NET,一般都认为封装过一层的ORM性能上会有损耗,但其实在使用中你会发现,当你需要把数据库对象转化为实体模型时,很多所谓的DbHelper其实封装的很低效,反而 ...
    
			
    9. 
						
  9. struts2-学习笔记(一)
			
     Struts2学习笔记(一) 一.Struts2概述 1. 是什么? Struts2 是一个非常优秀的MVC框架,基于Model2 设计模型 Struts2是一个M(模型---域--范围模型)V ...
    
			
    10. 
						
  10. vue + ajax + php 接口的使用小接
			
    vue + ajax + php 接口的使用小接 前端代码: (获取用户信息,并渲染页面) userinfor.html <!DOCTYPE html> <html lang=&qu ...
    
			
    11.