Как работает механизм авторизации доступа в LDAP с использованием ACI?

Механизм авторизации доступа в LDAP с использованием ACI работает так: когда сервер получает запрос, он использует информацию аутентификации, предоставленную пользователем в операции bind, и инструкции контроля доступа (ACI), определённые в каталоге, чтобы разрешить или запретить доступ к запрашиваемой записи или атрибуту. docs.redhat.com

ACI включает три компонента: www.identityfusion.com

1. Target. lia.disi.unibo.it www.identityfusion.com Указывает записи, к которым применяется ACI. www.identityfusion.com Это может быть distinguished-имя, один или несколько атрибутов или единый фильтр LDAP. lia.disi.unibo.it
2. Permission. lia.disi.unibo.it www.identityfusion.com Определяет, какие права разрешаются или запрещаются, например, права на чтение или поиск. lia.disi.unibo.it
3. Bind_rules. lia.disi.unibo.it Указывает учётные данные и параметры привязки, которые пользователь должен предоставить, чтобы получить доступ. lia.disi.unibo.it Правила привязки могут также специально запрещать доступ определённым пользователям или группам пользователей. lia.disi.unibo.it

Сервер может разрешать или запрещать разрешения для таких действий, как чтение, запись, поиск и сравнение. docs.redhat.com Уровень разрешения, предоставляемого пользователю, зависит от предоставленной информации аутентификации. docs.redhat.com

ACI, которые запрещают доступ, независимо от того, где они появляются в списке, имеют приоритет над ACIs, которые разрешают доступ к тому же ресурсу. docs.oracle.com