ldap服务器用户及权限管理控制linux操作系统-电脑资料

Idap效劳器用户及权限管理控制linux操作系统电脑资料

Idap效劳器可能使用的用户比拟少，但自己就要去用在百度找了N

久没找到什么可用的内容，就只在看英文了，下面我来给大家介绍

Idap效劳器用户及权限控制，希望此文章对大家有帮助，

openIdap默认的账户是二Manager,dc=361way,de二这样的一个账

户，其写在配置文件/etc/cpenldap/slapd.conf文件中，但这样

的一个账户就像linux下的root一样，虽然好用，不过权限太

大。出于平安考量，我们需要根据具体应用的需要，建立只读账户

或者可写用户。

一、新建管理账号

新建管理账户的方法很多，可以使用像诸如1dapadmin.

phpldapadmirisLDAPbrowser/editor等工具,也可以通过1dapadd

或slapadd这样的客户端工具（关于两者的区别可以参看IBM技术

网）。这里假设以Idapadd为例，具体做法如下：

1、新建一Idif文件，具体内容类似下面的：

dn:=bbs,dc=361way,dc=

objectClass:person

objectClass:shadowAount

objectClass:top

：bbs

sn:bbs

uid:bbs

userPassword::

elNTSEF9RHP0Ni9jM0xyaDRpd0RzN2R0VnVKZGdxYVJ0eUglRGU=

structuralObjectClass:person

entryUUTD:d08e9e!2-a8c9-1032-9efa-9d41910b717f

creatorsName:=Manager,dc=361way,dc=

createTimestamp:xx0903094905Z

entryCSN:xx0903094905Z#000001#00#000000

modifiersName:=Manager,de=361way,dc=

modifyTimestamp:xx0903094905Z

2、执行如下的命令操作导入：

1dapadd-x-W-D〃=Manager,dc=361way,de=〃-ftest.Idif

注：如果条件允许，建议还是使用图形化的客户端去操作。如

delphi写的LDAPadmin就非常好用。

二、给账号设置权限

默认新建的这个账号是没有管埋任何用户的权限的，可以用这个新

建的账号登陆客户端验证。

给新建的账户赋权限也是通过修改配置文件

/etc/openldap/slapd.conf来实现，具体的增加的内容如下：

aessto

dn.regex=〃=1，]+,mail=([*,]+)@([",]+),ou=Users,domainName=(

[,]+),o=domains,dc=361way,dc=$“

byanonymousnone

byselfnone

bydn.exact=〃二bbs,dc=361way,de="read

bydn.exact=〃二bbsadmin,dc=361way,de=〃write

by

dn.regex=，，maiou=Users,domainName二$3,o=domains,dc=36

Iway,dc=$〃write

byusersnone

#Allowuserstochangetheirownpasswordsandmail

forwardingaddresses.

aesstoattrs=，/userPassword,mailForwardingAddressz，

byanonymousauth

byselfwrite

bydn.exact="二bbs,dc=361way,de="read

bydn.exact=〃二bbsadmin,dc=361way,de二〃write

byusersnone

#Allowtoreadotherspublicinfo.

aesstoattrs=，z,sn,gn,givenName,telephoneNumber，/

byanonymousauth

byselfwrite

，，=

bydn.exact=bbs,dc=361way,de二〃read

bydn.exact="二bbsadmin,dc=361way,de="write

byusersread

#Domainattrs.

aessto

attrs=z/objectclass,domainName,mtaTransport,enabledService,d

omainSenderBAddress,domainRecipientBAddress,domainBackupMX,

domainMaxQuotaSize,domainMaxUserNumber，/

byanonymousauth

byselfread

bydn.exact=，，=bbs,dc=361way,dc=，zread

bydn.exact二〃二bbsadmin,dc=361way,de=〃write

byusersread

aessto

attrs=，，domainAdmin,domainGlobalAdmin,domainSenderBAddress,d

omainRecipientBAddress^

byanonymousauth

byselfread

bydn.exact="二bbs,dc=361way,de="read

bydn.exact=〃二bbsadmin,dc=361way,de二〃write

byusersnone

#Userattrs.

aessto

attrs="employeeNumber,homeDirectory,mailMessageStore,mail,a

ountStatus,userSenderBAddress,userRecipientBAddress,maiIQuo

ta,backupMailAddress,shadowAddress，z

byanonymousauth

byselfread

bydn.exact二〃二bbs,de=361way,de=〃read

bydn.oxact=zz=bbsadmin,dc=361way,dc=〃write

byusersread

#

#SetACLforbbs/bbsadmin.

#

aesstodn="二bbs,dc=361way,de="

byanonymousauth

byselfwrite

bydn.exact="z=bbsadinin,dc=361way,dc=z，write

byusersnone

aesstodn二〃二bbsadmin,dc=361way,de二〃

byanonymousauth

byselfwrite

byusersnone

#

#Allowuserstoaesstheirowndomainsubtree.

#Allowdomainadmintomodifyaountsundersamedomain.

#

aessto

dn.regex="domainName=([\]+),o=domains,dc=361way,dc=$”

byanonymousauth

byselfwrite

bydn.exact="二bbs,dc=361\vay,de="read

bydn.exact=〃二bbsadmin,dc=361way,de二〃write

bydn.regex="mail=[，]+@$1,o=domainAdmins,de=361way,dc=$〃

write

by

dn.regex=，/mail=[\ou=Users,domainName=$l,o=domains,de

=361way,dc=$〃read

byusersnone

#Grantcorrectprivilegestobbs/bbsadmin.

#

aesstodn.subtree="o二domains,de=361way,cc="

byanonymousauth

byselfwrite

bydn.exact=〃=bbs,dc=361way,de="read

bydn.exact=〃二bbsadmin,dc=361way,de二〃write

by

dn.regex二\]+,ou=Users,domainName=$l,。=domains,dc=36

Iway,dc=$〃read

byusersread

=/，

aesstodn.subtreeo=domainAdmins,dc=361way,de二〃

byanonymousauth

byselfwrite

bydn.exact二〃二bbs,dc=361way,de二〃read

，，=

bydn.exact=bbsadmin,dc=361way,de二〃write

byusersnone

n

#Setpermissionfor”=*,de二361way,de=〃.

#

aesstodn.regex=〃=「，]+,dc=361way,de="

byanonymousauth

byselfwrite

byusersnone

#Setdefaultperm