Proxy 授權

線上編輯

Proxy 授權是鑑別的特殊形式。透過使用此 Proxy 授權機制，用戶端應用程式可以使用自己的身分來連結至目錄，但容許代表另一個使用者執行作業以存取目標目錄。一組授信應用程式或使用者可以代表多個使用者存取 Directory Server。

Proxy 授權群組中的成員可以採用管理者或管理群組成員以外的任何已鑑別身分。

Proxy 授權群組可以儲存在 localhost 或 IBMpolicies 之下。會抄寫 IBM 原則下的 Proxy 授權群組; 不會抄寫本端主機下的 Proxy 授權群組。您可以將 Proxy 授權群組同時儲存在 localhost 和 IBMpolicies 之下。如果 Proxy 群組未儲存在其中一個 DN 下，伺服器會忽略群組的 Proxy 部分，並將它視為一般群組。

例如，用戶端應用程式 client1可以連結至具有高階存取權的 Directory Server。具有受限許可權的 UserA 會將要求傳送至用戶端應用程式。如果用戶端是 Proxy 授權群組的成員，它可以使用更有限的許可權層次，以 UserA 身分來傳遞要求，而不是以 client1身分將要求傳遞至 Directory Server。這表示應用程式伺服器只能存取該資訊，或只執行 UserA 能夠存取或執行的那些動作，而不是以 client1來執行要求。它會代表 UserA或作為 Proxy 來執行要求。

附註: 屬性成員必須具有 DN 格式的值。否則會傳回無效 DN 語法訊息。不允許群組 DN 成為 Proxy 授權群組的成員。

不允許管理者和管理群組成員成為 Proxy 授權群組的成員。審核日誌會針對每一個使用 Proxy 授權執行的動作，同時記錄連結 DN 和 Proxy DN。