34、深入解析 X.500 与 LDAP 目录访问协议

深入解析 X.500 与 LDAP 目录访问协议

1. 访问控制与权限继承

在目录服务中，访问控制是保障数据安全的重要环节。以 JimBrown 对象为例，请求者需要具备“Read”这一入口属性才能查看该对象。对于像社保号码和薪资这类敏感字段，还可通过属性级安全进一步限制访问。也就是说，用户可能有权查看 JimBrown 对象，但不一定能读取这些敏感字段。

在当前许多目录服务实现中，权限管理需格外谨慎，否则可能出现意外覆盖的情况。例如，NetWare 规定显式拒绝会覆盖其他任何访问权限授予。若用户被明确赋予对某对象的访问权限，但同时又是被明确拒绝访问该对象的组的成员，那么该用户将无法访问此对象。这会给管理员带来诸多困扰，他们需要查找显式拒绝的位置并进行反转操作。

而 X.500 则更为灵活，其访问控制列表（ACL）中的每个访问控制条目（ACI）可分配 0 到 255 之间的数字。系统会对这些数字进行评估并建立优先级顺序。若处理单个用户的 ACI 数字较高，而组的 ACI 数字较低，那么用户的高优先级 ACI 将覆盖组的低优先级 ACI，从而允许用户访问对象。若优先级相同，则采用更严格的设置。

X.500 还支持权限从高层容器向下层容器以及容器内的叶对象流动。在容器中创建的对象会继承该容器分配的安全属性。不过，可使用继承权限过滤器（IRF）来阻止权限继承。例如，在一个目录示例中，组织容器为管理组授予了“Read、Browse、Add、Remove 和 Modify”访问权限。由于财务、销售和客户服务容器是下属容器，按继承规则管理组在这些容器中应具有相同权限。但在此例中，财务容器设置了 IRF 来阻止“Add 和 Remove”权限，这不仅会阻止财务容器的这些权限