我希望授予具有特定值属性的用户的访问权限。
假设我有"ou=protected,dc=example,dc=com"目录,我希望canAccessProtected属性设置为TRUE的任何用户都可以将其写入。
像
这样的东西access to dn.subtree="ou=protected,dc=example,dc=com"
by users/canAccessProtected="TRUE" write
我检查了文档并且无法找到方法,虽然我没有掌握套装和其他一些东西。
是否可以按属性值管理用户访问权限?如果是,那怎么做?
答案 0 :(得分:0)
创建一个动态组,例如:
dn:cn=protectedGroup,ou=groups,dc=example,dc=com
objectClass:top
objectClass:groupOfURLs
cn:protectedGroup
memberURL: ldap:///ou=users,dc=example,dc=com??sub?(canAccessProtected=TRUE)
在slapd.conf中启用dynlist,如:
overlay dynlist
dynlist-attrset groupOfURLs memberURL member
授予该群组成员的写入权限:
access to dn.subtree="ou=protected,dc=example,dc=com"
by set="[cn=protectedGroup,ou=groups,dc=example,dc=com]/member & user" write
根据需要添加必要的ACL规则。