目錄服務


延伸 ACL:範例 2
The Acme company uses one IBM Lotus Domino domain.「Domino 名錄」中的目錄名稱階層共計有:組織 O=Acme、及之下的兩個組織單位 OU=West 與 OU=East。Acme 公司的「Domino 名錄」包含三個管理員群組: 安全性目標

為建立安全性,Acme 有下列目標:

1. 允許 Admins/Acme 群組成員:

2. 允許 Admins/West/Acme 群組成員: 3. 允許 Admins/East/Acme 群組成員: 4. 針對不在這些管理群組中的鑑定通過使用者,僅允許瀏覽及讀取資料庫的「人員」、「群組」及「資源」文件,其他文件則不允許,並防止這些使用者建立、刪除及修改任何文件。

5. 防止匿名使用者使用目錄。

Acme 達成目標的作法

下表說明 Acme 如何設定「Domino 名錄」資料庫 ACL 及延伸 ACL,來達成安全性的目標。

資料庫 ACL
主旨存取說明
-預設-讀者需要此權限以允許非管理員瀏覽及讀取「人員」、「群組」及「資源」文件
Admins/Acme 群組
  • 管理員
  • 刪除(L)
  • 所有管理角色
允許 Admins/Acme 成員管理全部文件及整個延伸 ACL -- 無需延伸 ACL 設定
Admins/West/Acme 群組
  • 編輯者
  • 建立、刪除
  • 所有管理角色
需要此權限以允許 Admins/West/Acme 成員建立、修改、刪除及管理 West/Acme 文件的延伸 ACL
Admins/East/Acme 群組
  • 編輯者
  • 建立、刪除
  • 所有管理角色
需要此權限以允許 Admins/East/Acme 成員建立、修改、刪除及管理 East/Acme 文件的延伸 ACL
匿名沒有權限防止匿名使用者存取目錄中的任何資訊。無需延伸 ACL 設定

延伸 ACL 中的 / (root) 目標
主旨存取這個容器和所有子容器?說明
-預設-預設值:
  • 全部拒絕
「人員」、「群組」及「資源」
  • 容許:瀏覽、讀取
  • 拒絕:建立、刪除、寫入、管理
僅允許非管理員讀取「人員」、「群組」及「資源」文件
Admins/West/Acme 群組預設值:
  • 容許:瀏覽、讀取
  • 拒絕:建立、刪除、寫入、管理
防止 Admins/West/Acme 群組成員修改在 / (root) 及 O=Acme 目標的文件
Admins/East/Acme 群組預設值:
  • 容許:瀏覽、讀取
  • 拒絕:建立、刪除、寫入、管理
防止 Admins/East/Acme 群組成員修改在 / (root) 及 O=Acme 目標的文件

延伸 ACL 中的 OU=West 目標
主旨存取這個容器和所有子容器?說明
Admins/West/Acme 群組預設值:
  • 全部容許
允許 Admins/West/Acme 成員具備 OU=West 之下文件的完整存取權

延伸 ACL 中的 OU=East 目標
主旨存取這個容器和所有子容器?說明
Admins/East/Acme 群組預設值:
  • 全部容許
允許 Admins/East/Acme 成員具備 OU=East 之下文件的完整存取權
相關主題