LDAP配置.docx

LDAP 中的访问控制列表本节介绍 Senior Level Linux Professional (LPIC-3) 301 考试的 303.2 主题的内容。此主题的权值是 2。在本节中，学习如何：计划 LDAP 访问控制列表了解访问控制语法授予和撤消 LDAP 访问权限LDAP 树中可以存储各种数据，包括电话号码、出生日期和工资表信息。其中一些数据可能是公开的，一些数据可能只能由由特定的人访问。根据用户的不同，同样的信息可能有不同的限制。例如，也许只有记录的所有者和管理员可以更改电话号码，但是每个人都可以读取这些号码。访问控制列表 (ACL) 处理这些限制的配置。计划 LDAP 访问控制列表在开始编写配置之前，应该确定要实现的目标。树的哪部分包含敏感信息？哪些属性需要保护，保护其不被谁访问？如何使用树？ACL 的组件ACL 条目提供三条信息：ACL 指定what条目和属性ACL 应用于who授予的access级别正则表达式正则表达式用于匹配文本。您可能大体了解文本的外观，或知道特定的模式，则可以构建正则表达式来找到要查找的内容。正则表达式，简称为regex，是由文字匹配和与各种模式匹配的元字符组成的。hello就是一个简单的 regex ，它匹配任何包括hello模式的字符串。您可能不知道字符串是否为大写，那么元字符集合[]能够匹配集合中的任何字符。因此，[Hh]ello匹配hello和Hello。句点可以匹配任何单个字符。.ello匹配Hello和hello，但也匹配fellow和cello。然而，它不能匹配ello，因为句点必须与一些内容相匹配。字符?、*、和+分别可以与 0 个或 1 个前导字符、0 个或多个前导字符、一个或多个前导字符相匹配。因此hello+可以与hello和helloooooo相匹配，但是与hell不匹配。正则表达式有许多不同的选项，允许您从文本文件中有效地提取模式。在 OpenLDAP 上下文中，正则表达式用于与 DN 的一部分相匹配，以避免手动编码数百个不同的可能性指定 “what” 子句时，可以选择根据对象的区分名（distinguished name，DN）、LDAP 风格的查询筛选器、属性列表或以上三者的组合来进行筛选。最简单的子句允许一切内容，但也可以有很多限制。根据 DN 筛选允许您指定精确匹配，比如ou=People,dc=ertw,dc=com或正则表达式（参阅 “正则表达式”）。查询筛选器可以匹配特定的objectClass或其他属性。属性列表中的属性名称用逗号分隔。更复杂的匹配条件可以是 “身份是管理员的ou=People,dc=ertw,dc=com下的所有密码条目”。可以灵活地确定将 ACL 应用于 who。用户一般由绑定到树上的 DN 来识别，这称为bindDN。每个 LDAP 条目可以具有一个userPassword属性，用于对特定的用户进行身份验证。在一些上下文中，您可以将当前登录的用户称为自己，这有利于允许用户编辑自己的详细信息。如果用户没有绑定，则被视为匿名用户。默认情况下，匿名用户可以读取树，所以您必须决定是否需要更改此行为。可以通过 IP 地址或用于连接的方法（比如明文和加密的方法）来对匿名用户（或任何用户）进行分割。一旦确定了 what 和 who，必须确定访问级别。访问权限可以是无一直到写访问。还可以指定用户可以验证条目，但不可以读取；或可以允许用户读取、有哪些信誉好的足球投注网站和比较访问。无论如何配置您的 ACL，任何已配置的rootDN用户可以完全控制其数据库。不可以对此进行更改，除非将rootDN配置从 slapd.conf 中移除。了解访问控制语法ACL 的基本格式使用 Backus-Naur Form 表示，也就是：access to what [ by who [ access ] [ control ] ]+Backus-Naur FormBackus-Naur Form (BNF) 是一种描述语法的方法，比如 ACL 语法。它通常用于开发 Internet 协议，因为 BNF 十分简洁而且非常准确。在 BNF 表示法中，有由 ::= 符号分开的左侧项和右侧项。这意味着左侧的项可以替换为右侧的项。用尖括号（ 和 ）括起来的右侧项表示 BNF 的另一行，而尖括号中的项目出现在左侧。方括号（[ 和 ]）里的项是可选的。竖线 (|) 表示 “一个或另一个”；+ 和 * 分别表示 “一个或多个前导” 和 “0 个或多个前导”。熟悉正则表达式的人一定认识其中许多项。看一下 BNF 的 ACL，ACL 条目包括文字字符串 “access to”，接着是在其他地方定义的、称为 “what” 的项。随后是范式的一行或多行，包括 who [ access ] [ control