OpenLDAP olcAccess 是否支持用户法定人数

Question

您可以使用该技术定义用户和组集"sets"，然后在访问控制规则中使用这些集。允许授予敏感访问权限的两个用户可以组合成一个集，然后对敏感访问权限的任何修改都可能需要得到该集中至少两个用户的批准。

例子：

# Define a set of users who can grant sensitive access
olcAccessSet: sensitive-admins {user1, user2}

# Require at least two members of the sensitive-admins set to grant sensitive access
olcAccess: {2}to * by group=sensitive-admins approve:sensitive_access
olcAccess: {0}to * by group=sensitive-admins read

在此示例中，第一个 olcAccess 规则将"approve:sensitive_access"权限授予组成员"sensitive-admins"，但要求至少两名组成员批准该请求。第二个 olcAccess 规则将读取访问权限授予同一组。

在将任何访问控制更改部署到生产 LDAP 服务器之前，您应该在非生产环境中测试它们。

Answer 1

您可以使用该技术定义用户和组集"sets"，然后在访问控制规则中使用这些集。允许授予敏感访问权限的两个用户可以组合成一个集，然后对敏感访问权限的任何修改都可能需要得到该集中至少两个用户的批准。

例子：

# Define a set of users who can grant sensitive access
olcAccessSet: sensitive-admins {user1, user2}

# Require at least two members of the sensitive-admins set to grant sensitive access
olcAccess: {2}to * by group=sensitive-admins approve:sensitive_access
olcAccess: {0}to * by group=sensitive-admins read

在此示例中，第一个 olcAccess 规则将"approve:sensitive_access"权限授予组成员"sensitive-admins"，但要求至少两名组成员批准该请求。第二个 olcAccess 规则将读取访问权限授予同一组。

在将任何访问控制更改部署到生产 LDAP 服务器之前，您应该在非生产环境中测试它们。

OpenLDAP olcAccess 是否支持用户法定人数

答案1

相关内容