［转］使用 LDAP OU 限制访问

使用 LDAP OU 限制访问

http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_organizational_units.html#Restrict_Access_Using_LDAP_Organizational_Units?locale=zh

您可以为 LDAP 目录中特定组织单元 (OU) 或特定 OU 的子代授予 IBM® Cognos® Connection 的访问权限。通常，OU 表示组织的一个部分。

要让此方法生效，您必须在 IBM Cognos Configuration 中安全、认证类别下正确设置基本专有名称和用户查找属性。通过使用这些属性的不同值，您可以为 LDAP 目录结构中的不同 OU 授予访问权限。

请考虑以下目录树：

图 1. 分为东部和西部的虚拟公司的组织单元树

如果仅“东部”OU 的用户需要访问 IBM Cognos Connection，那么可以按下表中所列出的内容指定值。

表 1. 东部组织单元的基本专有名称和用户查找值

属性	值
基本专有名称	ou=East，ou=people，dc=abc，dc=com
用户查找	uid=${userID}

如果“东部”和“西部”OU 的用户都需要访问权限，那么可以按下表中所列出的内容指定值。

表 2. 东部和西部组织单元的基本专有名称和用户查找值

属性	值
基本专有名称	ou=people，dc=abc，dc=com
用户查找	(uid=${userID})

用户查找属性中的括号 () 用作可搜索位于指定“基本 DN”下的所有 OU 的过滤器。在第一个示例中，仅为用户帐户搜索“东部”OU。在第二个示例中，会搜索“东部”和“西部”OU。

然而，在以上两个示例中，排除组对 IBM Cognos Connection 的访问，因为它们位于用户以外的目录树的不同分支。要包括组和用户，“基本 DN”必须在目录树的根目录中。然后，值如下表中所列出。

表 3. 目录树根目录上的组和用户的基本专有名称和用户查找值

属性	值
基本专有名称	dc=abc，dc=com
用户查找	(uid=${userID})

因此，该目录中的所有用户具有对 IBM Cognos Connection 的访问权限。

最后一个示例显示使用 OU 不一定始终是保护 IBM Cognos Connection 访问安全的最有效方式。如果您想要对特定 OU 中所有用户授予访问权限，那么可以使用此方法。如果您仅想要为特定用户授予访问权限，那么可能想要考虑在目录服务器中创建指定的 IBM Cognos BI 组或角色，并为此组或角色授予对 IBM Cognos Connection 的访问权限。