В моем случае я хочу создать нового пользователя-администратора, который имеет полные привилегии, такие как добавление/изменение/удаление объектов и свойств, в определенном DN (и, возможно, его подчиненном). Согласно документу, в таблице «Администрирование данных каталога» кажется, что я могу создать его, кто может «Доступ для чтения и записи к чужим записям», но я не знаю, как это сделать. Кто-нибудь может помочь, пожалуйста?
Могут ли административные привилегии быть ограничены определенным DN в OpenDJ?
Ответы (1)
Я обнаружил, что решение связано с ACI
. Таким образом, я могу создать новый объект администратора в поддереве cn=config
, а затем добавить некоторые свойства aci
к определенному DN, которым я хочу ограничить администратора. Кажется, это работает для моего случая.
person
Tonny Tc
schedule
05.07.2019
OpenDJ имеет ACI (инструкции по управлению доступом) и привилегии. Первые контролируют, кто и что может делать с данными в операциях LDAP. Последние предназначены больше для административного контроля, например, кому разрешено изменять ACI, предоставлять привилегии, запускать резервное копирование...
- person Ludovic Poitou; 05.07.2019
Большое спасибо за ваш ответ. Похоже, что ACI используется для управления объектами на сервере OpenDJ, а привилегия используется для управления самим сервером OpenDJ.
- person Tonny Tc; 08.07.2019