有没有办法以编程方式查询 OpenLDAP 2.4 服务器以找出允许用户修改某些对象的哪些属性?或者任何方式告诉服务器忽略当前用户无权进行的修改,而不是拒绝整个请求?
我正在寻找一种方法来避免硬编码哪些用户应该在我的 LDAP 管理 web 应用程序中看到哪些字段是可编辑的。
【问题讨论】:
标签: java permissions openldap unboundid-ldap-sdk
请检查this 是否有帮助。
在此示例中,他试图更改特定对象的 ACL。您也许可以重复使用相同/相似的代码。
【讨论】:
acl? 的操作属性中读取的?我在 ApacheDS 中显示了操作属性,但在任何地方都看不到任何 acl 属性。 acl 属性是否只显示专门针对该对象的规则?
我发现from the UnboundID folks 是没有检索 ACL 信息的官方标准,所以任何实现都是特定于服务器的。
UnboundID 的商业服务器提供了对特定条目进行有效访问控制的能力,显然 Sun/Oracle DSEE 和 OpenDS 实现了类似的功能。 389 Directory Server(也称为 Fedora Directory Server 也称为 Red Hat Directory Server)可能也有一些支持。
所以我想我的 OpenLDAP 服务器不走运,除非我想经历迁移到不同目录服务器的麻烦。
【讨论】:
如果 slapd 配置为使用 cn=config,那么您可能有一个获取 ACL 信息的快捷方式。 要让 slapd 使用 cn=config 而不是 slapd.conf: http://www.zytrax.com/books/ldap/ch6/slapd-config.html 至少如果 ACL 可通过 Ldap 获得,则可以在执行修改请求之前对其进行过滤。
slapadd -u 启用空运行(不写入后端)模式怎么样。
这对处理这种情况有用吗?
【讨论】: