1. 全栈程序员必看首页

openldap设置ACL

全栈程序员-站长 未分类 阅读 2

openldap设置ACL安装好了 openldap 之后 就是对它进行配置了 其中一项就是设置访问控制 限制普通用户只能修改 访问他们能修改 访问的项

安装好了openldap之后,就是对它进行配置了,其中一项就是设置访问控制,限制普通用户只能修改/访问他们能修改/访问的项。这就是ACL需要做的事情。

设置方法

ACL设置语法

1.语法

access to what:
by who access control
其中,access to指示启用访问控制,上句大致可以理解为:
access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+

2.剖析

2.1 控制目标 what

这一域主要是实现对ACL应用对象的指定,对象可以是记录和属性。选择ACL目标记录的方法一般有两种:DN和filter,语法为:


what ::= * |
[dn[.basic-style]=regex | dn.scope-style=DN]
[filter=ldapfilter] [attrs=<attrlist>]




2.1.1 指定所有的记录

access to *

2.1.2 通过DN指定

语法如下:

to dn[.basic-style]=regex
basic-style ::= regex | exact
to dn.scope-style=DN
scope-style ::= base | one | subtree | children


第一种方法是使用正则表达式(dn.regex)或精确匹配(dn.style)的方式来匹配符合条件的记录(这个好像不像想象的那么简单,实现起来颇为费脑筋),例如:

access to dn="^.*,uid=([^,]+),ou=users,(.*)$"

2.1.3 通过filter匹配记录

通过filter指定过滤规则进行记录过虑,语法如下:

access to filter=ldap filter

其中filter指定的为search的过滤规则,这类同于linux系统中grep的匹配方式。如:

access to filter=(objectClass=sambaSamAccount)

也可以结合使用DN和filter进行记录的匹配,例如:

access to dn.subtree=”ou=users,dc=mydomain,dc=org” filter=(objectClass=posixAccount)

2.1.4 通过attrs选取匹配记录

2.2 被用来授权的访问者的指定

2.3 被授予的权限access

2.4 采取什么样的匹配控制动作control

在进行记录的匹配时,如果有多条规则存在,那么在第一次匹配产生后是否还进行后续的匹配或采取其它的动作将取决于此项的设置;控制方式共有以下三种:

2.5 一个例子

access to dn.chilren="ou=users,dc=mydomain,dc=org"
attrs=userPassword #指定“密码”属性
by self write #用户自己可更改
by * auth #所有访问者需要通过认证
by dn.children="ou=admins,dc=mydomain,dc=org" write #管理员组的用户可更改



access to dn.subtree="ou=SUDOers,dc=test,dc=com" #SUDOers的所有内容必须提供其他匿名可读,不然在linux上切换到该用户,不能使用sudo
by dn="cn=Manager,dc=test,dc=com" write
by * read
access to attrs="gidNumber,homeDirectory,loginShell,uidNumber,sshPublicKey"
by * read #对这些属性只能读,但是userPassword字段是可写的,允许用户自行修改密码,但是不能修改自己的gid,home目录等
access to *
by anonymous read #匿名访问可读
by self write #自己可写
by users read







 #其他用户可读

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/233230.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • elasticsearch面试常问问题_java面试题汇总

    elasticsearch面试常问问题_java面试题汇总

    elasticsearch面试常问问题_java面试题汇总Elasticsearch是基于Lucene的Restful的分布式实时全文搜索引擎,每个字段都被索引并可被搜索,可以快速存储、搜索、分析海量的数据。全文检索是指对每一个词建立一个索引,指明该词在文章中出现的次数和位置。当查询时,根据事先建立的索引进行查找,并将查找的结果反馈给用户的检索方式。这个过程类似于通过字典中的检索字表查字的过程。**(1)index索引:**索引类似于mysql中的数据库,Elasticesearch中的索引是存在数据的地方,包含了一堆有相似结构的文档数据。**(2

    全栈程序员-站长的头像 全栈程序员-站长
    2025年8月29日
    4
  • HDU 1754 I Hate It (段树单点更新)

    HDU 1754 I Hate It (段树单点更新)

    HDU 1754 I Hate It (段树单点更新)

    全栈程序员-站长的头像 全栈程序员-站长
    2022年1月7日
    45
  • 使用zabbix监控redis内存使用

    使用zabbix监控redis内存使用

    使用zabbix监控redis内存使用本篇提到的监控环境是有条件的,即默认单机只运行一个redis实例,且默认运行的端口是6379(也可以是其他端口,需要通过sed-i’s/6379/你修改的端口/g’xml模板文件修改模板文件里的端口号)。即然有这么多局限,岂不是适应用环境很差。确实,本篇算是一个基础部分,为后面提到的lld(lowleveldiscovery)自动发现做铺垫。由于前面几部分也对基础的东西做了很多总结…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月18日
    38
  • count(*)、count(主键id)、count(字段)和count(1)等不同用法的性能,有哪些差别?那种效率更高

    count(*)、count(主键id)、count(字段)和count(1)等不同用法的性能,有哪些差别?那种效率更高

    count(*)、count(主键id)、count(字段)和count(1)等不同用法的性能,有哪些差别?那种效率更高

    全栈程序员-站长的头像 全栈程序员-站长
    2022年2月17日
    36
  • webstorm插件开发

    webstorm插件开发

    webstorm插件开发前言最近有开发webstrom插件的需求,可是百度一下发现网上关于webstorm插件开发的文章实在是寥寥无几,本文记录一下本次插件开发走的路和踩的坑。希望对后来的同学能有些许的帮助。正文准备工作intelliJ平台的所有插件开发都是基于java语言,所以在进入开发工作之前必须对java语言有一定的了解,本人作为java门外汉,花…

    全栈程序员-站长的头像 全栈程序员-站长
    2025年10月10日
    3
  • SfM问题

    SfM问题

    SfM问题StructurefromMotion(SfM)是一个估计相机参数及三维点位置的问题。SfM也就是三维重建

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月20日
    44

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号