slapacl
применяется для проверки поведения
slapd
в процессе предоставления доступа к данным каталога в соответствии со
списками контроля доступа, определёнными в его конфигурации.
Утилита открывает конфигурационный файл
slapd.conf(5)
или базу данных
slapd-config(5),
читает директивы
access/olcAccess,
а затем анализирует предоставленный в командной строке список атрибутов
attr;
если списка атрибутов не было предоставлено, проверяется доступ к псевдо-атрибуту
entry.
ПАРАМЕТРЫ
-b DN
Определяет
DN,
к которому запрашивается доступ; соответствующая запись извлекается из базы данных,
поэтому она должна существовать. Данное
DN
используется также для определения того,
какие правила следует применять, таким образом, оно должно быть в контексте именования
настраиваемой базы данных. Смотрите также описание параметра
-u.
-d debug-level
Включает вывод отладочных сообщений в соответствии с указанным уровнем
debug-level;
подробнее смотрите в
slapd(8).
-D authcDN
Определяет DN, который будет использоваться в качестве идентификационной сущности
в рамках тестовой сессии при выборе соответствующих условий
<by>
в списках доступа.
Определяет конфигурационную директорию.
Если указаны сразу и
-f
и
-F,
конфигурационный файл будет прочтён, переконвертирован в формат
конфигурационной директории и записан в указанную директорию.
Если не указан ни один из этих параметров, будет предпринята
попытка прочитать конфигурационную директорию по умолчанию,
а затем использовать конфигурационный файл по умолчанию.
Если существует конфигурационная директория в правильном формате,
то конфигурационный файл игнорируется.
-o option[=value]
Определяет опцию
option
с необязательным значением
value.
Возможные опции/значения общего назначения:
syslog=<subsystems> (смотрите `-s' в slapd(8))
syslog-level=<level> (смотрите `-S' в slapd(8))
syslog-user=<user> (смотрите `-l' в slapd(8))
Возможные опции/значения, специфичные для
slapacl:
Подробности смотрите в описании соответствующих полей в
slapd.access(5).
-u
Не извлекать запись из базы данных. В этом случае,
если запись не существует, используется фиктивная запись
без атрибутов с
DN,
заданным в параметре
-b.
Как следствие, правила, зависящие от содержимого целевого объекта,
не будут применяться так, как это было бы с реальным объектом.
В любом случае,
DN,
заданное в параметре
-b,
используется для определения того, какие правила следует применять;
таким образом, оно должно быть в контексте именования настраиваемой
базы данных. Смотрите также описание параметра
-b.
-U authcID
Указывает идентификатор, который будет отображён в
DN
посредством правил
authz-regexp
или
authz-rewrite
(подробности в
slapd.conf(5));
этот параметр несовместим с параметром
-D.
-v
Включает режим подробного вывода.
-X authzID
Указывает авторизационный идентификатор, который будет отображён в
DN
посредством правил
authz-regexp
или
authz-rewrite
(подробности в
slapd.conf(5));
этот параметр несовместим с -oauthzDN=DN.
ПРИМЕРЫ
Команда
/usr/local/sbin/slapacl -f /usr/local/etc/openldap/slapd.conf -v \
-U bjorn -b "o=University of Michigan,c=US" \
"o/read:University of Michigan"
проверяет, сможет ли пользователь
bjorn
получить доступ уровня
read
к атрибуту
o
записи
o=University of Michigan,c=US.
Программное обеспечение OpenLDAP
разработано и поддерживается проектом OpenLDAP <http://www.openldap.org/>.
Программное обеспечение OpenLDAP
является производным от релиза 3.3 LDAP Мичиганского Университета.
