我尝试了解 OpenLDAP 提供的不同访问级别,请参阅OpenLDAP 2.6 指南:访问控制 - 授予访问权限。
虽然访问级别write仅从名称就可以看出来,但恕我直言,文档未能准确定义某些级别与其他级别的区别。或者可能有一些有争议的例子来说明不同级别是如何区分的。
search和之间的区别read
文档中说,search应用搜索过滤器需要访问级别,read读取搜索过滤器的结果需要访问级别。search那么,单独使用有什么用呢?举个例子,如果客户端应用了搜索过滤器,但不需要结果,那该怎么办?
write和之间的区别manage
文档说,write修改需要访问级别,manage管理需要级别。(后者是一个相当重复的定义。)什么提供了,manage什么write没有提供?
这个问题尤其困扰着我,因为控制 OpenLDAP 行为的所有设置都作为对象及其值存储在 DIT 本身中。因此,如果想要管理 OpenLDAP 设置,就必须修改(即写入)相应的对象/值。
答案1
对于该search部分,它会告诉您结果的数量。
如果你有一个二元属性(例如,受邀的人),你可以知道其中有多少人是真正受邀的,哪些人不是。但你不知道哪些人是受邀的。除非你有read权限。
write对于和之间的区别m̀anage,它有点复杂。manage允许您这样写,即使您不应该这样做。 一个简单的例子是编写不符合密码策略的密码(不够长或没有数字和特殊字符......)。 这种用途并不常见,因此大多数帐户只需要write。 尽管如此,rootdn具有manage权限,正如预期的那样。
希望能帮助到你 :)