III. APACHE VÀ LDAP:
a. Require ldap-use r:
Các Yêu cầu người sử dụng ldap chỉ thị xác định những gì tên người dùng có thể truy cập các tài nguyên. Một khi đã lấy mod_authnz_ldap một DN độc đáo từ thư mục, nó có một LDAP so sánh hoạt động bằng cách sử dụng tên
người dùng quy định tại các Yêu cầu người sử dụng ldap để xem tên người dùng đó là một phần của chỉ mục LDAP cường điệu. Nhiều người sử dụng có
thể được cấp quyền truy cập bằng cách đặt nhiều tên người dùng trên dòng,
ngăn cách với không gian. Nếu tên người dùng một có một không gian trong nó, sau đó nó phải được bao quanh với dấu ngoặc kép. Nhiều người dùng cũng
có thể được cấp quyền truy cập bằng cách sử dụng nhiều ldap Yêu cầu người
sử dụng chỉ thị, với một người sử dụng trên mỗi dòng. Ví dụ, với một
Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính
các tìm kiếm), các chỉ thị Yêu cầu sau đây có thể được sử dụng để hạn chế truy
cập:
Require ldap-user "Barbara Jenson" Require ldap-user "Fred User" Require ldap-user "Joe Manager"
Bởi vì cách xử lý mod_authnz_ldap chỉ thị này, Barbara Jenson có thể đăng
nhập vào như Barbara Jenson, Babs Jenson hoặc cn nào khác mà cô có trong mục LDAP của cô. Chỉ có duy nhất dòng ldap Yêu cầu người sử dụng là cần
thiết để hỗ trợ tất cả các giá trị của thuộc tính trong mục nhập của người dùng.
Nếu các thuộc tính đã được sử dụng thay vì uid của thuộc tính cn trong URL ở trên, ba trên đường có thể được cô đặc để
Require ldap-user bjenson fuser jmanager
b. Require ldap-group :
Chỉ thị này quy định một nhóm LDAP mà các thành viên được phép truy
cập. Nó có tên phân biệt của nhóm LDAP. Lưu ý: Không bao quanh tên nhóm với dấu ngoặc kép. Ví dụ, giả sử rằng các mục sau đây tồn tại trong thư mục
LDAP:
dn: cn=Administrators, o=Example objectClass: groupOfUniqueNames
uniqueMember: cn=Barbara Jenson, o=Example uniqueMember: cn=Fred User, o=Example
Chỉ thị sau đây sẽ cấp quyền truy cập cho cả Fred và Barbara: Require ldap-group cn=Administrators, o=Example
Các thành viên cũng có thể được tìm thấy trong các nhóm của một nhóm
LDAP quy định nếu AuthLDAPMaxSubGroupDepth được thiết lập là giá trị
lớn hơn 0. Ví dụ, giả sử các mục sau đây tồn tại trong thư mục LDAP:
dn: cn=Employees, o=Example objectClass: groupOfUniqueNames
uniqueMember: cn=Managers, o=Example uniqueMember: cn=Administrators, o=Example uniqueMember: cn=Users, o=Example
dn: cn=Managers, o=Example objectClass: groupOfUniqueNames
Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính
uniqueMember: cn=Bob Ellis, o=Example uniqueMember: cn=Tom Jackson, o=Example
dn: cn=Administrators, o=Example
objectClass: groupOfUniqueNames
uniqueMember: cn=Barbara Jenson, o=Example uniqueMember: cn=Fred User, o=Example
dn: cn=Users, o=Example
objectClass: groupOfUniqueNames
uniqueMember: cn=Allan Jefferson, o=Example uniqueMember: cn=Paul Tilley, o=Example
uniqueMember: cn=Temporary Employees, o=Example
dn: cn=Temporary Employees, o=Example objectClass: groupOfUniqueNames
uniqueMember: cn=Jim Swenson, o=Example uniqueMember: cn=Elliot Rhodes, o=Example
c. Require ldap-dn:
Các Yêu cầu ldap-dn chỉ thị cho phép người quản trị để cấp quyền truy cập
dựa trên tên phân biệt. Nó chỉ định một DN mà phải phù hợp cho việc truy cập để được cấp. Nếu tên phân biệt được lấy từ máy chủ thư mục phù hợp với tên phân biệt trong Yêu cầu dn-ldap, sau đó ủy quyền được cấp. Lưu ý: đừng bao
quanh tên phân biệt với dấu ngoặc kép.
Chỉ thị sau đây sẽ cấp quyền truy cập vào một DN cụ thể:
Require ldap-dn cn=Barbara Jenson, o=Example
d. Require ldap-attribute :
Các Yêu cầu ldap-thuộc tính chỉ thị cho phép người quản trị để cấp quyền
truy cập dựa trên các thuộc tính của người sử dụng chứng thực trong thư mục
LDAP. Nếu các thuộc tính trong thư mục phù hợp với giá trị đưa ra trong cấu
hình, truy cập được cấp.
Chỉ thị sau đây sẽ cấp quyền truy cập cho bất kỳ ai với các employeeType
thuộc tính = hoạt động
Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính
Nhiều thuộc tính / giá trị các cặp có thể được chỉ định trên cùng một dòng cách nhau bởi khoảng trắng hoặc chúng có thể được quy định tại nhiều ldap-Yêu cầu chỉ thị thuộc tính. Hiệu quả của việc niêm yết nhiều thuộc tính / giá trị cặp
là một hoạt động hoặc. Truy cập sẽ được cấp nếu có của các giá trị thuộc tính được liệt kê phù hợp với giá trị của thuộc tính tương ứng trong các đối tượng người dùng. Nếu giá trị của thuộc tính có một không gian, chỉ có giá trị phải
nằm trong dấu ngoặc kép.
Chỉ thị sau đây sẽ cấp quyền truy cập cho bất kỳ ai với các thành phố thuộc
tính bằng "San Jose" hoặc tình trạng bằng "Active"
Require ldap-attribute city="San Jose" status=active
e. Require ldap-filter :
Các Yêu cầu ldap-filter chỉ thị cho phép người quản trị để cấp quyền truy
cập dựa trên một bộ lọc tìm kiếm LDAP phức tạp. Nếu các dn trở lại của bộ
lọc tìm kiếm phù hợp với dn người dùng xác thực, truy cập được cấp.
Chỉ thị sau đây sẽ cấp quyền truy cập cho bất cứ ai có một điện thoại di động và là trong bộ phận tiếp thị
Require ldap-filter &(cell=*)(department=marketing)
Sự khác biệt giữa các thị ldap-filter Yêu cầu và các chỉ thị Yêu cầu ldap- thuộc tính là ldap-lọc thực hiện một hoạt động tìm kiếm trên các thư mục
LDAP bằng cách sử dụng bộ lọc tìm kiếm quy định chứ không phải là một so
sánh thuộc tính đơn giản. Nếu so sánh thuộc tính đơn giản là tất cả những gì là cần thiết, các hoạt động so sánh được thực hiện bởi thuộc tính-ldap sẽ được nhanh hơn các hoạt động tìm kiếm được sử dụng bởi ldap-lọc đặc biệt là trong một thư mục lớn.
Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính
