Группы — быстрый путь предоставления пользователям прав доступа к определённым возможностям или функциональности в каталогах LDAP. Для этих целей в директиве access to (атрибуте olcAccess в cn=config) есть специфичный для групп вариант условия <who>. Реальные права, которые будут предоставлены группе, также определяются в директиве access to (атрибуте olcAccess в cn=config). В записях групп используется объектный класс groupOfNames.
Примечание: Группы, определённые с помощью объектного класса groupOfNames по существу являются статическими и требуют выполнения явных действий для определения каждого члена группы. Когда в группе очень много членов, либо они постоянно изменяются, управление такой группой превращается в серьёзную головную боль. LDAP также предоставляет нестандартную (нет соответствующего RFC), но широко реализованную функцию так называемых динамических групп, использующих объектный класс groupOfURLs.
Приведённые ниже фрагменты LDIF демонстрируют построение группы itpeople, которой будут предоставлены привилегии на доступ и изменение паролей или параметров конфигурации в записях пользователей. Подразумевается, что индивидуальные записи членов группы уже существуют в каталоге в классической ветке ou=people. В данной конфигурации создаётся отдельная ветка groups, в которой будет располагаться группа itpeople. Такая организация каталога показана на диаграмме:
# фрагмент LDIF для создания ветки group в корне DIT dn: ou=groups,dc=example,dc=com objectclass:organizationalunit ou: groups description: generic groups branch # создание записи группы itpeople dn: cn=itpeople,ou=groups,dc=example,dc=com objectclass: groupofnames cn: itpeople description: IT security group # добавление членов группы, подразумевается, # что все они существуют и находятся в ветке people member: cn=road runner,ou=people,dc=example,dc=com member: cn=micky mouse,ou=people,dc=example,dc=com ...
Таким образом, DN cn=itpeople,ou=groups,dc=example,dc=com будет ссылаться на всех членов (member) этой группы. Любому человеку, прошедшему аутентификацию как 'micky mouse', могут быть предоставлены права itpeople с помощью соответствующей директивы access to (атрибута olcAccess в cn=config). Смотрите рабочий пример использования групп здесь.
Проблемы, комментарии, предположения, исправления (включая битые ссылки) или есть что добавить? Пожалуйста, выкроите время в потоке занятой жизни, чтобы написать нам, вебмастеру или в службу поддержки. Оставшийся день Вы проведёте с чувством удовлетворения.
Нашли ошибку в переводе? Сообщите переводчикам!
Copyright © 1994-2017 ZyTrax, Inc. Все права защищены. Последнее изменение страницы: 21 октября 2015 г.
Переведено участниками проекта Pro-LDAP.ru в 2012 г.