OpenLDAP olcAccess 是否支持用户法定人数

OpenLDAP olcAccess 是否支持用户法定人数

例如,我们有一个具有敏感访问权限或权限的角色。并且有两个具有较低敏感权限的用户的角色。我们想授予此用户权限,以便为用户设置更敏感的角色,但仅限于恰好两个用户的法定人数。我们可以这样做吗?

我认为,我们可以使用 olcAccess“集合”,但这些集合的记录不全……

答案1

您可以使用该技术定义用户和组集"sets",然后在访问控制规则中使用这些集。 允许授予敏感访问权限的两个用户可以组合成一个集,然后对敏感访问权限的任何修改都可能需要得到该集中至少两个用户的批准。

例子:

# Define a set of users who can grant sensitive access
olcAccessSet: sensitive-admins {user1, user2}

# Require at least two members of the sensitive-admins set to grant sensitive access
olcAccess: {2}to * by group=sensitive-admins approve:sensitive_access
olcAccess: {0}to * by group=sensitive-admins read

在此示例中,第一个 olcAccess 规则将"approve:sensitive_access"权限授予组成员"sensitive-admins",但要求至少两名组成员批准该请求。第二个 olcAccess 规则将读取访问权限授予同一组。

在将任何访问控制更改部署到生产 LDAP 服务器之前,您应该在非生产环境中测试它们。

相关内容