LINUX.ORG.RU
ФорумAdmin

OpenLdap attrs=children

 ,


0

1

Кто нибудь объясните простым языком принцип работы attrs=children в ACL OpenLdap`а. Сколько я не пытался понять принцип его работы, не вкуриваю.

Не экспериментировал с этим, но насколько я понял, если нет доступа к attrs=children у записи, то не сможешь создать/изменить дочернюю запись. С поиском по дереву видимо так же, если доступ к attrs=children none, то не сможешь искать.

Ivan_qrt ★★★★★
()

http://www.openldap.org/doc/admin24/access-control.html

когда ты задаешь (пишешь) правило доступа (ACL), то задаешь его в форме <правило> = dn, фильтр, атрибуты (attrs). дак вот атрибуты это просто всякие атрибуты записи к которым ты хочешь контролировать доступ - к примеру (возьмем класс inetorgperson), это знакомые всем displayname, telephonenumber, и т.д., т.е. всё то что составляет собственно «тело» записи.

ну и есть собственно специальные, виртуальные псевдо атрибуты - entry и children:

There are two special pseudo attributes entry and children. To read (and hence return) a target entry, the subject must have read access to the target's entry attribute. To perform a search, the subject must have search access to the search base's entry attribute. To add or delete an entry, the subject must have write access to the entry's entry attribute AND must have write access to the entry's parent's children attribute. To rename an entry, the subject must have write access to entry's entry attribute AND have write access to both the old parent's and new parent's children attributes. The complete examples at the end of this section should help clear things up.

Релевантный пример вроде в 8.4.5. Granting access to a subset of attributes

Итого - это нужно штука бывает нужна для разграничивания доступа к отдельным атрибутам dn'a. Поскольку «дети» dn это вроде как не атрибуты вовсе, то придумали такое обозначение для подзаписей данной записи.

вроде как если ты не знаешь, что это то оно получается и не нужно.

mos ★★☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.