访问控制列表

Question

阅读官方文档，我找到了根本原因，ACL 是特定于数据库的，要么添加前端，要么添加 HDB。我把它们加错了地方。:(

所以我的最终配置是

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=ad,dc=pthl,dc=hk
olcRootDN: cn=Manager,dc=ad,dc=pthl,dc=hk

#................
#................

# user itself and Manager write, anonymous bind, other deny
olcAccess: to attrs=userPassword
  by self write
  by anonymous auth
  by dn.base="cn=Manager,dc=ad,dc=pthl,dc=hk" write
  by * none
# Manager write, other(both authenticated and anonymous) read.
olcAccess: to *
  by dn.base="cn=Manager,dc=ad,dc=pthl,dc=hk" write
  by * read

默认的访问控制策略是允许所有客户端读取。无论定义了什么访问控制策略，rootdn 始终被允许对所有内容拥有完全权限（即身份验证、搜索、比较、读取和写入）。

因此，在子句中明确列出 rootdn 是无用的（并且会导致性能下降）。

Answer 1

阅读官方文档，我找到了根本原因，ACL 是特定于数据库的，要么添加前端，要么添加 HDB。我把它们加错了地方。:(

所以我的最终配置是

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=ad,dc=pthl,dc=hk
olcRootDN: cn=Manager,dc=ad,dc=pthl,dc=hk

#................
#................

# user itself and Manager write, anonymous bind, other deny
olcAccess: to attrs=userPassword
  by self write
  by anonymous auth
  by dn.base="cn=Manager,dc=ad,dc=pthl,dc=hk" write
  by * none
# Manager write, other(both authenticated and anonymous) read.
olcAccess: to *
  by dn.base="cn=Manager,dc=ad,dc=pthl,dc=hk" write
  by * read

默认的访问控制策略是允许所有客户端读取。无论定义了什么访问控制策略，rootdn 始终被允许对所有内容拥有完全权限（即身份验证、搜索、比较、读取和写入）。

因此，在子句中明确列出 rootdn 是无用的（并且会导致性能下降）。

访问控制列表

访问控制列表

答案1

相关内容