LDAP与MySQL数据库安全指南
1. LDAP访问控制列表(ACL)解析
在LDAP中,访问控制列表(ACL)是管理用户对目录信息树(DIT)访问权限的重要工具。从技术上讲,整个ACL可以列在一行上,例如access to * by users read by * auth,但按照惯例,我们会将每个by...语句单独列在一行,因为slapd能够识别access to字符串标志着下一个ACL的开始。
ACL的解析遵循“从上到下,首次匹配即生效”的原则,就像一组过滤器。因此,将特定的ACL和by...语句放在更通用的语句之上至关重要。例如,先设置限制对userPassword属性访问的ACL,再设置适用于整个LDAP数据库(*)的ACL,这样“允许用户更改自己的密码”(access to attrs=userPassword by self write)就成为了“用户对任何内容只有只读访问权限”(access to * by users read)这一通用规则的例外。
访问级别是分层的,可能的级别包括none、auth、compare、search、read和write,其中 <
