Single

Devops-OpenLDAP(3)访问权限控制ACL

控制对目录树中的信息的访问。谁应该能够访问记录?在什么条件下?他们应该能看到多少这样的记录呢?这些是我们将
在本节中讨论的问题。


OpenLDAP控制目录数据访问的主要方法是通过访问控制列表(acl)。当SLAPD服务器处理来自客户机的请求时,它将评
估客户机是否具有访问所请求的信息的权限。要执行此计算,SLAPD将依次计算confguration中的每个acl,并将适当的
规则应用于传入请求。


所有客户端都允许读取默认的访问控制策略。不管定义了什么访问控制策略,rootdn总是允许对所有和任何东西拥有
完全的权限(即身份验证、搜索、比较、读和写)。

参考地址:
https://www.openldap.org/software/man.cgi?query=slapd.access&sektion=5&apropos=0&manpath=OpenLDAP+2.4-Release

访问控制ACL介绍

访问控制主要定义三大方面:
<what>部分选择应用访问的条目和/或属性,
<who>部分指定授予哪些实体访问,
<access>部分指定授予的访问。

access to [resources]
    by [who] [type of access granted] [control]
    by [who] [type of access granted] [control]

DN 其实就是一个具体的条目
例如 cn=chaiio,ou=People,dc=blingabc.dc=com

(1)what (控制对什么的访问)


访问规范的部分确定了应用访问控制的条目和属性。条目通常有三种选择方式:
• 通过DN
• 通过过滤器。
• 通过属性

1) 通过DN :

to * // 选择所有
to dn[.<basic-style>]=<regex> // 使用正则
to dn.<scope-style>=<DN> // 使用范围

表达式实例:
access to dn.regex="uid=[^,]+,ou=Users,dc=example,dc=com"

范围
范围分为: base,one,subtree,children

暂无评论

发表评论