OpenLDAP：用ACL控制訪問權限

時間 2019-11-06

標籤 openldap acl 控制訪問權限欄目 Unix 简体版

原文原文鏈接

用ACL控制受權編程

咱們在LDAP中建立目錄樹後,最感興趣的就是如何控制用戶在目錄樹中的權限(讀寫)。誰在什麼條件下有記錄權限，咱們有權限看到哪些信息。ACL（Access Control List）訪問控制列表就是解決用戶權限問題的。服務器

咱們要把ACL寫在哪裏？編程語言

ACL寫在OpenLDAP的服務端全局配置文件slapd.conf中，以下這段即爲其指令：ide

# access to dn.base="" by * readui

# access to dn.base="cn=Subschema" by * readthis

# access to *spa

#by self write.net

#by users readrest

#by anonymous authxml

也能夠寫在一個單獨的文件中，如access.conf，而後在全局配置文件slapd.conf中

調用，在配置文件中引入這個文件便可，以下：

include /etc/openldap/access.conf

include後面的路徑爲該文件的放置地址。

ACL語法基礎

怎麼看懂ACL指令？

首先看下ACL訪問指令的格式：

################################################

access to [resources]

by [who] [type of access granted] [control]

# More 'by' clauses, if necessary....

################################################

指令中包含1個to語句，多個by語句。

這個指令的大致意思是，經過access to約束咱們訪問的範圍（resources），

經過by設定哪一個用戶（who）獲取對這個約束範圍有什麼權限（type of access granted）,

並控制（control）這個by語句完成後是否繼續執行下一個by語句或者下一個ACL指令。

若是對ACL指令很熟悉的話，能夠沒必要繼續往下看，由於如下爲詳細的指令基礎介紹。

如今對ACL指令分解成兩大部分進行詳細說明，一個是access to指令，一個是by指令。

先看看access to吧。

以上內容意思是，

dn.base:約束這個特定DN的訪問。他和dn.exact和dn.baselevel是相同的意思。

dn.one:約束這個特定的DN第一級子樹的訪問。dn.onelevel是同義詞。

dn.children:這個和dn.subtree相似,都是對其如下的子樹訪問權的約束。不一樣點在於，

這個的約束是不包含本身自己DN。而subtree包含了自己的DN。

#######################################################################

對於dn的約束條件還能夠利用模糊約束，以下：

access to dn.regex="uid=[^,]+,ou=Users,dc=example,dc=com"

by * none

dn.regex是用來作匹配（match）用的。

這個指令將約束全部uid=(任何值),ou=Users,dc=example,dc=com的DN，其中的任何值是用[^,]+這個符號組合來表示的，他能夠表明任何至少有1個字符，且字符當中沒有逗號（,）的值。

更明確點說，意思就是在ou=Users,dc=example,dc=com這個DN下的全部以uid爲屬性的一級子樹都屬於這個約束的範圍。

2.經過約束attrs訪問

對於DN的約束大多用在對某個層級的約束，而用attrs的話，就能夠跨層級（或者說跨越父類樹），經過屬性來約束訪問的範圍。

access to attrs=homePhone

by * none

這個例子意思是，任何人都沒有權限訪問屬性爲homePhone的信息。

在attrs後面的值能夠多個，如

access to attrs=homePhone,homePostalAddress

若是想約束某個對象類(Object class)的全部屬性，咱們或許能夠有這樣的形式：

access to attrs = title, registeredAddress, destinationIndicator,……

但這個方法太耗時，也難以閱讀，顯得笨重，如下給出一個好的方法：

access to attrs=@organizationalPerson

by * none

用@的方法必須謹慎，這段指令不單單約束了organizationalPerson裏的屬性，也約束

了person對象類的屬性。爲何？由於organizationalPerson對象類是person的子類，

所以，全部person中的屬性就固然也是organizationalPerson的屬性了。

若是想作除了organizationalPerson的其餘對象類的約束，能夠用！來表示：

access to attrs=!organizationalPerson

也能夠加入屬性的值，具體約束某個值：

access to attrs=givenName val="Matt"

這個指令也能夠用模糊約束的方法，以下：

access to attrs=givenName val.regex="M.*"

最後給個通常狀況下用到的利用屬性約束的例子：

access to attrs=member val.children="ou=Users,dc=example,dc=com"

by * none

1.經過Filters訪問

Filters提供一種支持條目記錄匹配的方法，以下：

access to filter="(objectClass=simpleSecurityObject)"

by * none

這表示咱們能夠約束全部記錄中包含對象類爲simpleSecurityObject的信息。

與編程語言相似, ACL指令也有相似與或的條件判斷,以下:

access to

filter="(|(|(givenName=Matt)(givenName=Barbara))(sn=Kant))"

by * none

這段代碼過濾出givenName爲Matt或者Barbara，或者surname爲Kant的信息。

Access to [resources]

resources能夠有多種形式，如DN，attrs, Filters.

如下即詳細說明。

1.經過約束DN進行訪問

以下所示，

access to dn="uid=matt,ou=Users,dc=example,dc=com"

by * none

這個指令是指訪問uid=matt,ou=Users,dc=example,dc=com這個DN，即把訪問的

範圍約束在這個DN中。

by * none是指對於任何人的訪問都是拒絕的。

整體的意思就是，任何人都沒有權限訪問uid=matt,ou=Users,dc=example,dc=com這個DN，固然，服務器管理員是能夠訪問的，否則它沒法維護這個OpenLDAP中的用戶信息。

再來看一個，

access to dn.subtree="ou=Users,dc=example,dc=com"

by * none

在這個例子中，咱們用了dn.subtree。在咱們的目錄信息樹中，在ou=Users子樹下可能有多個用戶。舉例來講，DN爲uid=matt,ou=Users,dc=example,dc=com就是ou=Users, dc=example,dc=com的子樹，當要試圖訪問他時，這個ACL指令就起了做用。

整體的意思是，任何人都沒有權限訪問ou=Users，dc=example,dc=com以及其子樹的信息。

#######################################################################

※　此處插播1個知識點

dn.base:Restrict access to this particular DN. This is the default, and

dn.exactand dn.baselevel are synonyms of dn.base.

dn.one: Restrict access to any entries immediately below this DN.

dn.onelevelis a synonym.

dn.children:Restrict access to the children (subordinate) entries of this DN.

This is similar to subtree, except that the given DN itself is not restricted by the rule.

本文摘自：http://blog.csdn.net/corpsin/article/details/5048402