- 论坛徽章:
- 0
|
需求如下,在同一个 ldap 下建了两个 RootDSE,
suffix "ou=system"
suffix "dc=example.com"
ou=system 准备用来做 系统认证,如 ftp 账号之类的
dc=example.com 是给 example 公司建立的 LDAP 地址簿
比如 ldap 的目录树类似如下
ou=system
| - cn=root,ou=system
| - cn=readonly,ou=system
| - ou=users,ou=system
| \ - cn=user 1,ou=users,ou=system
\ - ou=groups,ou=system
\ - cn=group 1,ou=groups,ou=system
dc=example.com
| - cn=user 1,dc=exapmle.com
| - cn=user 2,dc=exapmle.com
\ - cn=admin 1,dc=exapmle.com
现在想写的 ACL 要完成以下功能
1. cn=root,ou=system 作为 ou=system 和 dc=example.com 的 rootdn
2. cn=readonly,ou=system 只能读 ou=system 和 dc=example.com 下的 dn,但不能进行修改
3. ou=users,ou=system 下的 dn 只能读取及修改自己的 dn
4. dc=example.com 下的 dn 只能读取 dc=example.com 下 dn ,不能读取 ou=system 下的 dn
且可对自己 dn 进行修改
5. cn=admin 1,dc=exapmle.com 可对 dc=example.com 下 dn 进行修改
嘿嘿,大家共同研究研究 |
|