以编程方式查询LDAP权限

时间:2011-05-10 20:19:47

标签: java permissions openldap unboundid-ldap-sdk

有没有办法以编程方式查询OpenLDAP 2.4服务器,以找出允许用户修改某些对象的哪些属性?或者告诉服务器忽略当前用户无权修改的任何方式,而不是拒绝整个请求?

我正在寻找一些方法可以避免硬编码哪些用户应该在我的LDAP管理网络应用中看到哪些字段可编辑。

3 个答案:

答案 0 :(得分:1)

请检查this是否有帮助。

在此示例中,他正在尝试更改特定对象的ACL。您可以重复使用相同/类似的代码。

答案 1 :(得分:0)

我发现from the UnboundID folks的原因是没有检索ACL信息的官方标准,因此任何实现都是特定于服务器的。

UnboundID的商业服务器提供了为特定条目获得有效访问控制的能力,显然Sun / Oracle DSEE和OpenDS实现了类似的功能。 389 Directory Server(也称为Fedora Directory Server也称为Red Hat Directory Server)也可能有一些支持。

所以我想我的OpenLDAP服务器运气不好,除非我想解决迁移到其他目录服务器的麻烦。

答案 2 :(得分:0)

如果slapd配置为使用cn = config,那么您可能有获取ACL信息的快捷方式。 让slapd使用cn = config而不是slapd.conf: http://www.zytrax.com/books/ldap/ch6/slapd-config.html 至少如果ACL可以通过Ldap获得,修改请求可以在执行之前进行过滤。

slapadd -u如何启用干运行(不写入后端)模式。

这会对处理这种情况有用吗?