建设网站哪个便宜,活动vi设计公司,wordpress评论提示,网站建设业务活动Oracle统一目录支持组#xff0c;组是作为单个对象管理的条目集合。通常#xff0c;目录管理员配置打印机组、软件应用程序组、员工组等。在为一组用户分配特殊访问权限时#xff0c;组尤其有用。例如#xff0c;您可以配置一组访问管理器#xff0c;并分配权限#xff0…Oracle统一目录支持组组是作为单个对象管理的条目集合。通常目录管理员配置打印机组、软件应用程序组、员工组等。在为一组用户分配特殊访问权限时组尤其有用。例如您可以配置一组访问管理器并分配权限使其能够查看机密员工数据但限制公司中的任何其他人访问该数据。
支持以下组类型
静态组 通过使用groupOfNames、groupOfUniqueNames或groupOfEntries对象类提供显式的可分辨名称集DNs来定义其成员身份。静态组得到了外部客户机的良好支持并提供了良好的性能。 静态组是其条目包含显式DNs的成员列表的组。许多客户机支持静态组但随着组中成员数量的增加静态组很难管理。例如如果有需要更改DN的成员条目则必须为该用户所属的每个组更改该用户的DN。 目录服务器支持以下三种类型的静态组根据它们使用的对象类进行划分 groupOfNames 可以通过使用groupOfNames对象类和使用member属性显式指定成员DNs来定义静态组 dn: cnExample Static Group 1,ouGroups,dcexample,dccom
objectClass: top
objectClass: groupOfNames
member: uiduser1,ouPeople,dcexample,dccom
member: uiduser2,ouPeople,dcexample,dccom
cn: Example Static Group 1 RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求成员属性在groupOfNames对象类中是必需的。当管理员试图删除组中的最后一个成员时此成员资格要求通常会导致数据管理问题。目录服务器通过允许成员属性是可选的来解决这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。 dn: cnDirectory Administrators,ouGroups,dcexample,dccom
cn: Directory Administrators
objectclass: top
objectclass: groupOfNames
ou: Groups
member: uidttully,ouPeople,dcexample,dccom
member: uidcharvey,ouPeople,dcexample,dccom
member: uidrfisher,ouPeople,dcexample,dccomldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename static-group1.ldif
Processing ADD request for cnDirectory Administrators,ouGroups,dcexample,dccom
ADD operation successful for DN cnDirectory
Administrators,ouGroups,dcexample,dccomldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--baseDN dcexample,dccom (uidttully) isMemberOf
dn: uidttully,ouPeople,dcexample,dccom
isMemberOf: cnDirectory Administrators,ouGroups,dcexample,dccom groupOfUniqueNames 可以通过使用groupOfUniqueNames对象类和使用uniqueMember属性显式指定成员DNs来定义静态组。groupOfUniqueNames对象类与groupOfNames对象类的不同之处在于可以通过指定唯一DN和可选标识符来枚举组的成员。标识符确保在添加、删除或重命名任何对象时可以标识唯一的对象。 例如您可以删除或移动一个员工cnTom Smith然后将一个同名的新员工cnTom Smith添加到目录中。要区分两者必须使用位字符串添加单独的标识符。下面的示例显示了两个同名的用户但第二个uniqueMember有一个可选的标识符。 uniqueMember: uidtsmith,ouPeople,dcexample,dccom
uniqueMember: uidtsmith,ouPeople,dcexample,dccom#0111101B 很少有LDAP应用程序实际使用可选的UID标识符。 RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求在groupOfUniqueNames对象类中uniqueMember属性是必需的。当管理员试图删除组中的最后一个成员时此成员资格要求曾经导致数据管理问题。Oracle统一目录允许uniqueMember属性是可选的从而解决了这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。 dn: cnExample Static Group 2,ouGroups,dcexample,dccom
objectClass: top
objectClass: groupOfUniqueNames
uniqueMember: uiduser1,ouPeople,dcexample,dccom
uniqueMember: uiduser2,ouPeople,dcexample,dccom
cn: Example Static Group 2 dn: cnDirectory Administrators2,ouGroups,dcexample,dccom
cn: Directory Administrators2
objectclass: top
objectclass: groupOfUniqueNames
ou: Groups
uniquemember: uidalangdon,ouPeople,dcexample,dccom
uniquemember: uiddrose,ouPeople,dcexample,dccom
uniquemember: uidpolfield,ouPeople,dcexample,dccomldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename static-group2.ldifldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--baseDN dcexample,dccom (uidrdaugherty) isMemberOf
dn: uidalangdon,ouPeople,dcexample,dccom
isMemberOf: cnDirectory Administrators2,ouGroups,dcexample,dccom groupOfEntries 可以使用groupOfEntries对象类定义静态组。基于原始规范RFC 4519(http://www.rfc-editor.org/rfc/rfc4519.txt)和draft-findlay-ldap-groupofentries-00.txt2008年3月到期groupofentries对象类与groupOfNames和groupOfUniqueNames对象类的不同之处在于属性是可选的它使您能够指定一个没有任何成员的空对象类。 Oracle统一目录支持groupOfEntries草稿但也允许空groupOfNames和groupOfUniqueNames对象类。因此您可以创建任何类型的空组groupOfEntries、groupOfNames和groupOfUniqueNames。 dn: cnExample Static Group 3,ouGroups,dcexample,dccom
objectClass: top
objectClass: groupOfEntries
cn: Example Static Group 3 dn: cnDirectory Administrators3,ouGroups,dcexample,dccom
cn: Directory Administrators3
objectclass: top
objectclass: groupOfEntries
ou: Groups
member: uidbfrancis,ouPeople,dcexample,dccom
member: uidtjames,ouPeople,dcexample,dccom
member: uidbparker,ouPeople,dcexample,dccomldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename static-group3.ldifldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--baseDN dcexample,dccom (uidbparker) isMemberOf
dn: uidbparker,ouPeople,dcexample,dccom
isMemberOf: cnDirectory Administrators3,ouGroups,dcexample,dccom 查看静态组成员方法
$ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom \(isMemberOfcnAccounting Managers,ouGroups,dcexample,dccom)
dn: uidscarter,ouPeople,dcexample,dccom
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Accounting
ou: People
sn: Carter
facsimiletelephonenumber: 1 408 555 9751
roomnumber: 4612
userpassword: {SSHA}3KiJ51sx2Ug7DxZoq0vA9ZY6uaomevbJUBm7OA
l: Sunnyvale
cn: Sam Carter
telephonenumber: 1 408 555 4798
givenname: Sam
uid: scarter
mail: scarterexample.comdn: uidtmorris,ouPeople,dcexample,dccom
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Accounting
ou: People
sn: Morris
facsimiletelephonenumber: 1 408 555 8473
roomnumber: 4117
userpassword: {SSHA}bjFFHv6k1kbI6fZoCEfqmTj9XOZxWR06gxpKpQ
l: Santa Clara
cn: Ted Morris
telephonenumber: 1 408 555 9187
givenname: Ted
uid: tmorris
mail: tmorrisexample.com
19.3.1.5 Viewing All Static Groups of Which a User Is a Member
Search using ldapsearch and the virtual attribute cnIsMemberOf, as shown in the following example:查看用户所属的所有静态组
$ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom (uidscarter) isMemberOf
dn: uidscarter,ouPeople,dcexample,dccom
isMemberOf: cnAccounting Managers,ougroups,dcexample,dccom确定用户是否是组的成员
$ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b cnAccount Managers,ouGroups,dcexample,dccom \((objectclassgroupOfUniqueNames) \(uniquememberuidscarter,ouPeople,dcexample,dccom))
dn: cnAccounting Managers,ougroups,dcexample,dccom
objectClass: groupOfUniqueNames
objectClass: top
ou: groups
description: People who can manage accounting entries
cn: Accounting Managers
uniquemember: uidscarter, ouPeople, dcexample,dccom
uniquemember: uidtmorris, ouPeople, dcexample,dccom 动态组 动态组使用一组LDAP URL形式的搜索条件使用groupofurl对象类定义其成员身份。动态组可以很好地处理大量成员数百万个条目。随着条目的更新所有父组都会自动更新。 动态组的一个缺点是不是所有的客户端都支持它们。如果必须查询整个条目列表性能也会受到不利影响。因此动态组最适合具有大量条目的组或需要确定条目的特定组成员身份的客户端。 动态组是指其成员资格而不是在列表中显式维护由使用LDAP URL的搜索条件确定的组。例如假设您希望向dcexampledccom命名上下文中的所有经理发送电子邮件。为此创建一个动态组在其中指定cnManagers、ouGroups、dcexample、dccom。您进一步指定只希望返回电子邮件地址。当电子邮件应用程序查询该特定组的目录时目录服务器动态计算成员资格并返回相应的电子邮件地址列表。 动态组使用groupOfURL对象类和memberURL属性来定义LDAP URL其中包含用于确定组成员的条件搜索基、范围和筛选器。确定用户是否是动态组的成员的机制是一个常数时间操作因此对于拥有数百万成员的组它的效率与对于只有少数成员的组一样高。但是在指定搜索条件时必须小心因为如果搜索大量数据可能会对性能产生不利影响 此示例为位于库比蒂诺的员工指定了动态组。 dn: cncupertinoEmployees,ouGroups,dcexample,dccom
cn: CupertinoEmployees
objectclass: top
objectclass: groupOfURLs
ou: Groups
memberURL: ldap:///ouPeople,dcexample,dccom??sub?(lCupertino) $ ldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename dynamic_group.ldif
Processing ADD request for cncupertionEmployees,ouGroups,dcexample,dccom
ADD operation successful for DN cncupertionEmployees,ouGroups,dcexample,dccom $ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom \
(isMemberOfcncupertinoEmployees,ouGroups,dcexample,dccom)
dn: uidabergin,ouPeople,dcexample,dccom
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: 1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w
l: Cupertino
cn: Andy Bergin
telephonenumber: 1 408 555 8585
givenname: Andy
uid: abergin
mail: aberginexample.com
...(more entries)... $ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom (uidabergin) isMemberOf
dn: uidabergin,ouPeople,dcexample,dccom
isMemberOf: cnQA Managers,ougroups,dcexample,dccom
isMemberOf: cncupertinoEmployees,ouGroups,dcexample,dccom $ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom \
((uidabergin)(isMemberOfcncupertinoEmployees,ouGroups,dcexample,dccom))
dn: uidabergin,ouPeople,dcexample,dccom
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: 1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w
l: Cupertino
cn: Andy Bergin
telephonenumber: 1 408 555 8585
givenname: Andy
uid: abergin
mail: aberginexample.com 虚拟静 态组 对于外部客户端虚拟静态组的显示和行为与静态组类似只是每个成员都由一个虚拟属性表示该属性根据需要从另一个动态组定义其成员身份。 虚拟静态组允许只能支持静态组的客户端访问动态组。 在虚拟静态组中通过使用虚拟属性每个条目的行为类似于静态组条目。虚拟属性在调用时是动态确定的确定组成员身份的操作被传递给另一个组 虚拟静态组应包括GroupNoNames或GroupOfInQueNames对象类但不应包含member或uniqueMember属性 。虚拟静态组还应包含ds虚拟静态组辅助对象类和ds目标组dn属性。ds目标组dn属性用于引用要镜像为虚拟静态组的实际组并用于替代成员或uniquemember属性 dn: cnExample Virtual Static Group,ouGroups,dcexample,dccom
objectClass: top
objectClass: groupOfUniqueNames
objectClass: ds-virtual-static-group
cn: Example Virtual Static Group
ds-target-group-dn: cnExample Real Group,ouGroups,dcexample,dccom 当应用程序以成员资格属性为目标进行搜索但实际上没有检索到整个成员集时虚拟静态组的效率最高。应用程序通常使用如下筛选器来尝试确定用户是否是给定组的成员 ((objectClassgroupOfUniqueNames)(uniqueMemberuidjohn.doe,\ouPeople,dcexample,dccom)) 对于检索成员集的应用程序虚拟静态组可能并不理想因为构建整个成员列表的过程可能非常昂贵。 创建指定组的 LDIF 文件。 此示例文件指定了一个名为虚拟静态组。virtual-static.ldifcupertinoEmployees dn: cnvirtualStatic,ouGroups,dcexample,dccom
cn: Virtual Static
objectclass: top
objectclass: groupOfUniqueNames
objectclass: ds-virtual-static-group
ou: Groups
ds-target-group-dn: cncupertinoEmployees,ouGroups,dcexample,dccom通过处理 LDIF 文件来添加组。ldapmodify $ ldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename virtual-static.ldif
Processing ADD request for cnvirtualStatic,ouGroups,dcexample,dccom
ADD operation successful for DN cnvirtualStatic,ouGroups,dcexample,dccom $ ldapsearch -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \-b dcexample,dccom (isMemberOfcnvirtualStatic,ouGroups,dcexample,dccom)dn: cnvirtualStatic,ouGroups,dcexample,dccom
objectClass: groupOfUniqueNames
objectClass: ds-virtual-static-group
objectClass: top
cn: Virtual Static
uniqueMember: uidabergin,ouPeople,dcexample,dccom
ds-target-group-dn: cncupertinoEmployees,ouGroups,dcexample,dccom
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: 1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w
l: Cupertino
cn: Andy Bergin
telephonenumber: 1 408 555 8585
givenname: Andy
uid: abergin
mail: aberginexample.com
...(more entries)... 嵌套组 组可以嵌套其中一个组定义为子组条目其DN列在另一个组其父组中。组嵌套允许您在性能不是优先级时设置继承的组成员身份。可以将零个或多个成员属性的值设置为嵌套子组包括静态和动态组的DNs 此示例过程使用一个静态组和一个动态组创建嵌套组。 创建指定静态组的 LDIF 文件。 此示例文件指定了一个名为虚拟静态组。static-group.ldifDev Contractors dn: cnContractors,ouGroups,dcexample,dccom
cn: Dev Contractors
objectclass: top
objectclass: groupOfUniqueNames
ou: Dev Contractors Static Group
uniquemember: uidwsmith,ouContractors,dcexample,dccom
uniquemember: uidjstearn,ouContractors,dcexample,dccom
uniquemember: uidpbrook,ouContractors,dcexample,dccom
uniquemember: uidnjohnson,ouContractors,dcexample,dccom
uniquemember: uidsjones,ouContractors,dcexample,dccom通过处理 LDIF 文件来添加组。ldapmodify $ ldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename static-group.ldif创建指定动态组的 LDIF 文件。 此示例文件指定了一个名为 动态组。dynamic-group.ldifDevelopers dn: cnDevelopers,ouGroups,dcexample,dccom
cn: Developers
objectclass: top
objectclass: groupOfURLs
ou: Groups
memberURL: ldap:///ouPeople,dcexample,dccom??sub?(ouProduct Development)通过处理 LDIF 文件来添加组。ldapmodify $ ldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename dynamic-group.ldif创建指定嵌套静态组的 LDIF 文件。 此示例文件指定了一个名为嵌套的组。nested-group.ldifDevelopers Group dn: cnDevelopersGroup,ouGroups,dcexample,dccom
cn: Developers Group
objectclass: top
objectclass: groupOfUniqueNames
ou: Nested Static Group
uniquemember: cnContractors,ouGroups,dcexample,dccom
uniquemember: cnDevelopers,ouGroups,dcexample,dccom通过处理 LDIF 文件添加组ldapmodify $ ldapmodify -h localhost -p 1389 -D cnDirectory Manager -j pwd-file \--defaultAdd --filename nested-group.ldif
