超级会员免费看
深入解析X.500与LDAP:目录服务的技术洞察
1. 访问控制与X.500标准
在目录服务中,访问控制至关重要。以一个示例对象JimBrown为例,请求者需要具备“Read”的条目属性才能查看该对象。对于像社保号码和薪资这类敏感字段,还可通过属性级安全进一步限制访问。也就是说,用户可能有权查看JimBrown对象,但无法读取这些敏感字段。
在当前许多目录服务实现里,若不谨慎处理,权限可能会被意外覆盖。例如,NetWare认为显式拒绝会覆盖其他任何访问权限授予。若用户被授予对某对象的显式权限,但同时又是被显式拒绝访问该对象的组的成员,那么该用户将无法访问该对象,这会给管理员确定显式拒绝的位置并进行反转带来麻烦。
而X.500则更为灵活,其访问控制列表(ACL)中的每个访问控制条目(ACI)可被赋予0到255之间的数字。通过评估这个数字来构建优先级顺序。若处理单个用户的ACI被赋予较高数字,而组的ACI数字较低,那么用户的高优先级ACI将覆盖组的低优先级ACI,允许用户访问对象。若优先级顺序相同,则采用更严格的那个。
X.500还允许权限从高层容器向下级容器以及容器内的叶对象流动。对象在容器中创建时,会继承该容器分配的安全属性。不过,可使用继承权限过滤器(IRF)来阻止权限继承。例如,在一个目录示例中,组织容器为一个管理组授予了“Read、Browse、Add、Remove和Modify”访问权限。正常情况下,财务、销售和客户服务等下级容器中的管理组也会拥有相同权限。但在这个例子中,财务容器设置了继承权限过滤器,阻止了“Add和Remove”权限,这不仅影响了财务容器,还影响了其下的所有容器。
X.500标准意义重大,它是首次尝试定义真正的分
订阅专栏 解锁全文
扫一扫
65
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
