Конфигурирование групп

Группы — быстрый путь предоставления пользователям прав доступа к определённым возможностям или функциональности в каталогах LDAP. Для этих целей в директиве access to (атрибуте olcAccess в cn=config) есть специфичный для групп вариант условия <who>. Реальные права, которые будут предоставлены группе, также определяются в директиве access to (атрибуте olcAccess в cn=config). В записях групп используется объектный класс groupOfNames.

Примечание: Группы, определённые с помощью объектного класса groupOfNames по существу являются статическими и требуют выполнения явных действий для определения каждого члена группы. Когда в группе очень много членов, либо они постоянно изменяются, управление такой группой превращается в серьёзную головную боль. LDAP также предоставляет нестандартную (нет соответствующего RFC), но широко реализованную функцию так называемых динамических групп, использующих объектный класс groupOfURLs.

Пример:

Приведённые ниже фрагменты LDIF демонстрируют построение группы itpeople, которой будут предоставлены привилегии на доступ и изменение паролей или параметров конфигурации в записях пользователей. Подразумевается, что индивидуальные записи членов группы уже существуют в каталоге в классической ветке ou=people. В данной конфигурации создаётся отдельная ветка groups, в которой будет располагаться группа itpeople. Такая организация каталога показана на диаграмме:

DIT с добавленной веткой groups

# фрагмент LDIF для создания ветки group в корне DIT

dn: ou=groups,dc=example,dc=com
objectclass:organizationalunit
ou: groups
description: generic groups branch

# создание записи группы itpeople

dn: cn=itpeople,ou=groups,dc=example,dc=com
objectclass: groupofnames
cn: itpeople
description: IT security group
# добавление членов группы, подразумевается,
# что все они существуют и находятся в ветке people
member: cn=road runner,ou=people,dc=example,dc=com
member: cn=micky mouse,ou=people,dc=example,dc=com
...

Таким образом, DN cn=itpeople,ou=groups,dc=example,dc=com будет ссылаться на всех членов (member) этой группы. Любому человеку, прошедшему аутентификацию как 'micky mouse', могут быть предоставлены права itpeople с помощью соответствующей директивы access to (атрибута olcAccess в cn=config). Смотрите рабочий пример использования групп здесь.



Проблемы, комментарии, предположения, исправления (включая битые ссылки) или есть что добавить? Пожалуйста, выкроите время в потоке занятой жизни, чтобы написать нам, вебмастеру или в службу поддержки. Оставшийся день Вы проведёте с чувством удовлетворения.

Нашли ошибку в переводе? Сообщите переводчикам!

Copyright © 1994-2014 ZyTrax, Inc. Все права защищены. Последнее изменение страницы: 17 сентября 2013 г.
Переведено участниками проекта Pro-LDAP.ru в 2012 г.