CN1451109A - 简化的ldap访问控制语言系统 - Google Patents
简化的ldap访问控制语言系统 Download PDFInfo
- Publication number
- CN1451109A CN1451109A CN00815912A CN00815912A CN1451109A CN 1451109 A CN1451109 A CN 1451109A CN 00815912 A CN00815912 A CN 00815912A CN 00815912 A CN00815912 A CN 00815912A CN 1451109 A CN1451109 A CN 1451109A
- Authority
- CN
- China
- Prior art keywords
- user
- write
- access
- read
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种简化的LDAP访问语言系统提供了告知目录系统用户想让谁读取或写入访问其特定属性集。读取和写入属性是单独的列表,并且实际上可能不相同。这就给予用户能更好管理对他的属性访问的灵活性。读和写属性的值为LDAP格式,该格式是一种因特网标准(RFC 2254)。过滤属性允许用户不仅能规定位于其内联网中的用户,还可以规定通过因特网的用户。访问控制列表(ACL)由系统管理员创建。ACL将用户被允许能控制读或写访问的特定属性列出。这就使得管理员能对哪些信息可以由用户发表进行完全控制。ACL与记录一起存储在目录中。当用户访问目录中的记录时,服务器对要访问属性所规定的ACL进行检验。当服务器检验ACL时,对所访问属性拥有者的读或写属性由服务器使用。读或写属性和ACL的结合判定用户是否具有执行对所访问属性的读或写访问的许可。
Description
技术领域
本发明涉及从计算机环境中的目录结构访问信息。具体说,本发明涉及控制对计算机环境中LDAP目录结构中的数据访问。
背景技术
简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是“记录”的集合。每条记录具有名字以及属性值列表。目录中的记录以树结构形式组织,具有细分为更小单元的大分组。一个目录可能含有几个组织记录,每个组织记录都含有几个组织单元记录。这些记录可以进一步细分。
LDAP提供了能够在目录树规定部分上执行的搜索操作。因此,树和子树就是处理存储在LDAP目录中数据的通常方法。
记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业关系以及用户特征。因为所有的记录存储在单个目录中,所以,需要一种方法将规定信息的可用性限制给予授权用户。
用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin)创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事项需要从几十到几百条规则来实现。校小数量的ACL规则能提供更好的性能和更简单的管理性。
因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识库,因此,就不可避免地提供了一组丰富的访问选项/特性。例如,在没有任何DSAdmin干涉的情况下,用户应该能对他的记录进行修改,或更新他的家庭地址或家庭电话号码。
一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该特性的唯一途径就是允许用户创建ACL。然而,一个目录可以含有几百万条记录,例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小,就将需要几百万个ACL,这不仅使得服务器性能下降,而且也会有很高的不可管理性。它还产生了风险,即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。
另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地使用这些规则而设定的规则格式和字段。
因此,需要提供一种简化LDAP访问控制语言系统,该系统能允许用户规定能访问该用户目录记录信息中某些属性的人物列表。进一步需要提供一种简化LDAP访问控制语言系统,以提供一种简单的机制允许用户做出这些规定。
发明内容
本发明提供了一种简化LDAP访问控制语言系统。该系统提供了一种简单的命令语言,它允许系统管理员给用户规定能访问目录记录中某些属性的人物列表的灵活性。另外,本发明提供一种系统,允许用户在不需要理解复杂命令语法的情况下,简单地规定访问列表。
本发明的较佳实施例提供了告知目录系统用户想给谁对他属性的规定集合进行读或写访问的用户定义属性。这些读和写属性是单独的列表,并且实际上可能不相同。这就给予用户能更好管理对他的属性访问的灵活性。
读和写属性的值为LDAP格式,该格式是一种因特网标准(RFC 2254)。过滤属性允许用户不仅能规定位于其内联网中的用户,还可以规定通过因特网的用户。
访问控制列表(ACL)由系统管理员创建。ACL将用户被允许能控制读或写访问的特定属性列出。这就使得管理员能对哪些信息可以由用户发表进行完全控制。
ACL与记录一起存储在目录中。当用户访问目录中的记录时,服务器对要访问属性所规定的ACL进行检验。当服务器检验ACL时,对所访问属性拥有者的读或写属性由服务器使用。读或写属性和ACL的结合判定用户是否具有执行对所访问属性的读或写访问的许可。
本发明的其他方面和优点将可以从下面结合附图的通过示例说明本发明原理的详细描述中变得显而易见。
附图说明
图1是根据本发明的LDAP目录记录图例;
图2是如何根据本发明访问n个属性的示例的示意图;
图3是描述根据本发明的公司层次树中用户组织的示意框图;和
图4是根据本发明包括ACL、记录以及读/写属性的目录示意框图。
具体实施方式
本发明包含在一种计算机环境中简化的LDAP访问控制语言系统中。根据本发明的系统提供了一种简单的命令语言,它允许系统管理员给予用户能规定访问目录记录中某些属性的人物列表的灵活性。另外,本发明提供了一种系统,它允许用户在不需要理解复杂的命令语法的情况下,方便地规定访问列表。
简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是“记录”的集合。每条记录具有名字(称为区分名)以及属性值列表。目录中的记录以树结构形式组织,具有可细分为更小单元的较大分组。一个目录可能含有几个组织记录,每个组织记录都含有几个组织单元记录。这些记录可以进一步细分。
LDAP提供了能够在目录树规定部分上执行的搜索操作。因此,树和子树就是处理存储在LDAP目录中数据的通常方法。
记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业关系以及用户特征。因为所有的记录存储在单个目录中,所以,需要一种方法将特定信息的可用性限制给予授权用户。
用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin)创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事项需要从几十到几百条规则来实现。校小数量的ACL规则能提供更好的性能和更简单的管理性。
因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识库,因此,就不可避免地提供了一组丰富的访问选项/特性。例如,在没有任何DSAdmin干涉的情况下,用户应该能对他的记录进行修改,或更新他的家庭地址或家庭电话号码。
一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该特性的唯一途径就是允许用户创建ACL。然而,一个目录可以含有几百万条记录,例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小,就将需要几百万个ACL,这不仅使得服务器性能下降,而且也会有很高的不可管理性。它还产生了风险,即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。
另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地使用这些规则而设定的规则格式和字段。
所存在的问题是:
●如何让用户管理他们自身的某些信息。
●DSAdmin如何管理信息,以便不违反安全规则。
●如何在上述情况下使得服务器易管理。
理论上,DSAdmin需要具有执行下述任务的规则(从目录中n个属性当中):
1、允许n1个属性由世界上的任何人都能读取(这是典型的要求)。示例属性为cn、sn、电话号码。
2、允许n2个属性由用户自身进行读取和修改,例如家庭地址、家庭电话号码。
3、允许n3个属性由拥有者/管理员进行管理,例如薪金、雇员等级。
4、允许n4个属性由用户进行管理,即用户决定谁能读取或修改这些属性,例如,用户可以决定仅Sam可以读取他业余爱好属性,并且仅Kelly能读取或改变紧急联系信息,以便她能使其保持最新。
5、不允许剩余的n5=[n-(n1+n2+n3+n4)]个属性对除管理员组外的一般公众可访问,例如雇员状况。
问题1、2、3和5的解决比较简单,并且将在下面进行解释。最困难的一项就是第4种情况。如前所述,为了确保这种特性需要为用户提供创建其自身ACL的能力。这将导致有数百万个ACL,这是不可接受的。本文档的其余部分将描述一种使用少量ACL以及现有因特网标准来克服这些问题的新颖方法。
一种适用本方法的领域是具有Netcenter成员记录的NetscapeNetcenter。所有的成员信息存储在目录服务器中。Netcenter管理员不仅要维护成员的信息/简况,还要提供允许成员维护其他成员能访问的某些其他关键字信息的灵活性。这是一种目前还没有优秀方法能解决该问题的迫切需求。
本领域的熟练技术人员可以很容易理解虽然通篇所提及的是LDAP目录,但本发明可以在任何目录应用中实现。另外,虽然所引用的实例是涉及有关人的属性,但本领域的熟练技术人员可以很容易理解本发明可以控制访问存储在系统中的任意属性。
参照图1,示出个人LDAP目录记录101的实例。列出了有关特定个人的属性。这些属性的一部分由管理员102控制,例如,dn、sn、uid。某些属性103是用户想控制读和写访问的属性,例如,业余爱好、主页、个人页面。
LDAP标准是十分灵活的。它允许通过加入新的属性或对象类对方案进行扩展。某人可以将新的称为“hobbies”的属性107加入记录,只要对象类已经加入了该属性。
相对于图2,理想情况是当给出n个属性201,某些属性为公用202,例如电话号码,任何用户都可看见它们。其他属性是私有的,并且对于其他用户通常不可见。例如,部门管理员和经理仅能访问个人薪金属性203或仅超级管理员能访问个人雇员的状况204。最后的属性集是用户控制属性205,例如,业余爱好、主页和个人页面。
下述ACL语法用于解释如何解决1、2、3和5的情况。注意,语法仅用于参考。
●允许n1个属性由任何人读取:
ACL:(n1个属性列表)(允许(读取)用户=“anyone”)
●允许n2个属性由自身读取/可写:
ACL:(n2个属性列表)(允许(读取,写入)用户=“self”)
●允许n5个属性仅由管理员组读取/可写:
ACL:(n5个属性列表)(允许(读取,写入)组=“Admingroup”)
●允许拥有者和管理员对n3个属性进行管理:
ACL:(n3个属性列表)(允许(读取,写入)属性=“manager”或属性=“owner”)
再次参照图1,用户Prasanta 108的管理员是Claire109,并且她能读取/写入n3个属性的列表。同样,Joe的管理员Bill能读取/修改Joe的n3个属性。这可以使用一个ACL完成。“管理员”的值在运行时间插入。
对于情况4,要求就更加复杂。从n4个属性当中,必须实现较好的间隔尺寸(granularity),即n4个属性可以由某些人读取(n4-读取属性)并且可以由某些人修改(不一定必须是能读取属性的同一个人)(n4-写属性)。本发明的较佳实施例类似于其他情况通过提供ACL来解决第4种情况,但还使用用户定义的属性。
再次参照图1,用户定义属性104告知系统用户希望给予谁对其属性103进行读取105和写入106的许可。很明显读取105和写入106属性是单独的列表,并且实际上可以不相同。这就给予用户能更好管理对其属性访问的灵活性。
本发明的ACL语法如下(使用先前讨论的实例):
ACL:(n4-读属性列表)(允许(读取)过滤属性=“whocanreadattr”)
Ex:(业余爱好,紧急联系)(允许(读取)过滤属性=“whocanreadattr”)
ACL:(n4-写属性列表)(允许(写入)过滤属性=“whocanwriteattr”)
EX:(紧急联系)(允许(写入)过滤属性=“whocanwriteattr”)
其中whocanreadattr和whocanwriteattr的值是:
whocanreadattr:(((Idap:///o=abc.com?(uid=sam))(uid=kelly))
whocanwriteattr:(uid=kelly)
读取和写入属性的值为LDAP过滤格式,该格式是因特网标准(RFC 2254)。ACL由DSAdmin创建。这就给予DSAdmin对用户可以发出哪些信息进行完全控制。相对于图3,过滤属性允许用户不仅规定位于其内联网中的用户,还能规定因特网上的用户。在上述实例中,Prasanta303和Kelly304是同一公司(Netscape 301)的用户302。“whocanreadattr”属性给予来自ABC公司的Sam和来自Netscape的Kelly读取访问。参照图4,ACL 402和记录403一起存储在目录401中。当用户访问目录401中的记录403时,服务器对访问属性所规定的ACL 402进行检验。当服务器检验ACL 402时,所访问属性拥有者的读取404或写入405属性由服务器使用。
使用上述实例时,“whocanwriteattr”的值通过服务器在运行时间中用“(uid=kelly)”插入。因此,如果Kelly是访问客户,过滤器就匹配为TRUE,并且允许Kelly修改“紧急联系”属性。然而,如果Bill为客户,过滤器就与FALSE匹配,并且拒绝给Bill特权。每个用户现在都可以创建LDAP过滤器,以允许他们对他们自己的信息进行管理。
本发明的优势在于:
●Admin具有对用户所做事情的完全控制。
●仅需要少量ACL,而不是数百万个。
●服务器的性能有显著提高。
●新属性的值是依据因特网的标准。
虽然本发明再次是结合较佳实施例进行描述,但本领域的熟练技术人员可以很容易理解在不背离本发明的精神和范畴的情况下,其他应用也能取代前述的实施例。因此,本发明仅局限于下述权利要求。
Claims (27)
1、一种用于简化访问控制语言的处理,所述处理在计算机环境中控制对目录记录访问,所述处理包括下述步骤:
提供含有被允许读取特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义读取访问控制命令;
所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;以及
所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
2、如权利要求1所述的处理,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
3、如权利要求1所述的处理,其特征在于,进一步包括下述步骤:
提供含有被允许写入特定属性集的用户标识的用户定义写入列表;
提供系统管理员定义写入访问控制命令;
所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;以及
所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
4、如权利要求3所述的处理,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
5、一种用于简化访问控制语言的处理,所述处理在计算机环境中控制对目录记录访问,所述处理包括下述步骤:
提供系统管理员定义读取访问控制命令,该命令列出所述管理员为用户定义读取访问所选的用户属性;
提供系统管理员定义写入访问控制命令,该命令列出所述管理员为用户定义写入访问所选的用户属性;
提供多个含有用户标识的用户定义读取列表,所述用户标识被允许读取所述管理员为用户定义读取访问所选的用户属性;
提供多个含有用户标识的用户定义写入列表,所述用户标识被允许写入所述管理员为用户定义写入访问所选的用户属性;
其中,当发生客户读取访问所述管理员为用户定义读取访问所选的用户属性之一时,所述读取访问控制命令和所访问属性拥有者的读取列表就用于判定所述客户是否具有执行所述读取访问的许可;以及
其中,当发生客户写入访问所述管理员为用户定义写入访问所选的用户属性之一时,所述写入访问控制命令和所访问属性拥有者的写入列表就用于判定所述客户是否具有执行所述写入访问的许可。
6、一种用于简化访问控制语言的处理,所述处理在计算机环境中控制对目录记录访问,所述处理包括下述步骤:
提供含有被允许写入特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义写入访问控制命令;
所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;以及
所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
7、如权利要求6所述的处理,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
8、如权利要求6所述的处理,其特征在于,进一步包括下述步骤:
提供含有被允许读取特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义读取访问控制命令;
其中,所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;并且
其中,所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
9、如权利要求8所述的处理,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
10、一种用于简化访问控制语言的装置,它在计算机环境中控制对目录记录访问,所述装置包括:
含有被允许读取特定属性集的用户标识的用户定义读取列表;
系统管理员定义读取访问控制命令;
其中,所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;并且
其中,所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
11、如权利要求10所述的装置,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
12、如权利要求10所述的装置,其特征在于,进一步包括:
含有被允许写入特定属性集的用户标识的用户定义读取列表;
系统管理员定义写入访问控制命令;
其中,所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;并且
其中,所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
13、如权利要求12所述的装置,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
14、一种用于简化访问控制语言的装置,它在计算机环境中控制对目录记录访问,所述装置包括:
系统管理员定义读取访问控制命令,所述命令列出了所述管理员为用户定义读取访问所选的用户属性;
系统管理员定义写入访问控制命令,所述命令列出了所述管理员为用户定义写入访问所选的用户属性;
多个含有用户标识的用户定义读取列表,所述用户标识被允许读取所述管理员为用户定义读取访问所选的用户属性;
多个含有用户标识的用户定义写入列表,所述用户标识被允许写入所述管理员为用户定义写入访问所选的用户属性;
其中,当发生客户读取访问所述管理员为用户定义读取访问所选的用户属性之一时,所述读取访问控制命令和所访问属性拥有者的读取列表就用于判定所述客户是否具有执行所述读取访问的许可;以及
其中,当发生客户写入访问所述管理员为用户定义写入访问所选的用户属性之一时,所述写入访问控制命令和所访问属性拥有者的写入列表就用于判定所述客户是否具有执行所述写入访问的许可。
15、一种用于简化访问控制语言的装置,它在计算机环境中控制对目录记录访问,所述装置包括:
含有被允许写入特定属性集的用户标识的用户定义读取列表;
系统管理员定义写入访问控制命令;
其中,所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;以及
其中,所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
16、如权利要求15所述的装置,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
17、如权利要求15所述的装置,其特征在于,进一步包括:
含有被允许读取特定属性集的用户标识的用户定义读取列表;
系统管理员定义读取访问控制命令;
其中,所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;并且
其中,所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
18、如权利要求17所述的装置,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
19、一种可由计算机读取的程序存储媒体,有形地包括了可由计算机执行的指令程序以执行用于简化访问控制语言的方法步骤,所述方法在计算机环境中控制对目录记录访问,其特征在于,包括下述步骤:
提供含有被允许读取特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义读取访问控制命令;
所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;以及
所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
20、如权利要求19所述的方法,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
21、如权利要求19所述的方法,其特征在于,进一步包括下述步骤:
提供含有被允许写入特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义写入访问控制命令;
所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;以及
所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
22、如权利要求21所述的方法,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
23、一种可由计算机读取的程序存储媒体,实际包括了可由计算机执行的指令程序以执行用于简化访问控制语言的方法步骤,所述方法在计算机环境中控制对目录记录访问,其特征在于,包括下述步骤:
提供系统管理员定义读取访问控制命令,该命令列出所述管理员为用户定义读取访问所选的用户属性;
提供系统管理员定义写入访问控制命令,该命令列出所述管理员为用户定义写入访问所选的用户属性;
提供多个含有用户标识的用户定义读取列表,所述用户标识被允许读取所述管理员为用户定义读取访问所选的用户属性;
提供多个含有用户标识的用户定义写入列表,所述用户标识被允许写入所述管理员为用户定义写入访问所选的用户属性;
其中,当发生客户读取访问所述管理员为用户定义读取访问所选的用户属性之一时,所述读取访问控制命令和所访问属性拥有者的读取列表就用于判定所述客户是否具有执行所述读取访问的许可;以及
其中,当发生客户写入访问所述管理员为用户定义写入访问所选的用户属性之一时,所述写入访问控制命令和所访问属性拥有者的写入列表就用于判定所述客户是否具有执行所述写入访问的许可。
24、一种可由计算机读取的程序存储媒体,有形地包括了可由计算机执行的指令程序以执行用于简化访问控制语言的方法步骤,所述方法在计算机环境中控制对目录记录访问,其特征在于,包括下述步骤:
提供含有被允许写入特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义写入访问控制命令;
所述写入访问控制命令列出用户属性,所述属性是所述管理员为用户定义写入访问所选的属性;以及
所述写入访问控制命令参照所述用户定义写入列表,因而允许所述写入用户标识写入访问所述用户属性。
25、如权利要求24所述的方法,其特征在于,依据客户写访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户是否具有执行所述写入访问的许可。
26、如权利要求24所述的方法,其特征在于,进一步包括下述步骤:
提供含有被允许读取特定属性集的用户标识的用户定义读取列表;
提供系统管理员定义读取访问控制命令;
其中,所述读取访问控制命令列出用户属性,所述属性是所述管理员为用户定义读取访问所选的属性;并且
其中,所述读取访问控制命令参照所述用户定义读取列表,因而允许所述读取用户标识读取访问所述用户属性。
27、如权利要求26所述的方法,其特征在于,依据客户读访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户是否具有执行所述读取访问的许可。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/447,443 | 1999-11-22 | ||
US09/447,443 US6950819B1 (en) | 1999-11-22 | 1999-11-22 | Simplified LDAP access control language system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1451109A true CN1451109A (zh) | 2003-10-22 |
CN100414471C CN100414471C (zh) | 2008-08-27 |
Family
ID=23776393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB008159122A Expired - Lifetime CN100414471C (zh) | 1999-11-22 | 2000-10-19 | 通过简化访问控制语言在计算机环境中控制目录记录访问的方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US6950819B1 (zh) |
EP (1) | EP1232432A2 (zh) |
JP (1) | JP2003515806A (zh) |
CN (1) | CN100414471C (zh) |
AU (1) | AU1573701A (zh) |
HK (1) | HK1046963A1 (zh) |
WO (1) | WO2001038971A2 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100430951C (zh) * | 2004-11-05 | 2008-11-05 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
CN101076033B (zh) * | 2006-05-20 | 2011-11-09 | 国际商业机器公司 | 存储认证证书的方法和系统 |
CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
AU2003904317A0 (en) | 2003-08-13 | 2003-08-28 | Securicom (Nsw) Pty Ltd | Remote entry system |
JP4273934B2 (ja) * | 2003-11-13 | 2009-06-03 | 株式会社日立製作所 | ファイルシステム |
US7577132B2 (en) * | 2004-10-28 | 2009-08-18 | Microsoft Corporation | User interface for securing lightweight directory access protocol traffic |
EP1860589B1 (en) * | 2006-05-26 | 2013-11-27 | Incard SA | Method for accessing structured data in IC Cards |
US20080016546A1 (en) * | 2006-07-13 | 2008-01-17 | Li Tong L | Dynamic profile access control |
US20100036845A1 (en) * | 2008-08-07 | 2010-02-11 | Research In Motion Limited | System and Method for Negotiating the Access Control List of Data Items in an Ad-Hoc Network with Designated Owner Override Ability |
US9882769B2 (en) * | 2008-08-08 | 2018-01-30 | Blackberry Limited | System and method for registration of an agent to process management object updates |
US8250628B2 (en) * | 2009-08-28 | 2012-08-21 | International Business Machines Corporation | Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions |
US8601600B1 (en) | 2010-05-18 | 2013-12-03 | Google Inc. | Storing encrypted objects |
US10277601B1 (en) * | 2015-05-11 | 2019-04-30 | Google Llc | System and method for recursive propagating application access control |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4799153A (en) * | 1984-12-14 | 1989-01-17 | Telenet Communications Corporation | Method and apparatus for enhancing security of communications in a packet-switched data communications system |
US5129083A (en) * | 1989-06-29 | 1992-07-07 | Digital Equipment Corporation | Conditional object creating system having different object pointers for accessing a set of data structure objects |
US5263165A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | System for providing user access control within a distributed data processing system having multiple resource managers |
US5388196A (en) | 1990-09-07 | 1995-02-07 | Xerox Corporation | Hierarchical shared books with database |
JPH06348575A (ja) * | 1993-06-11 | 1994-12-22 | Pfu Ltd | データベース制御装置 |
US5696898A (en) * | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
CA2176775C (en) * | 1995-06-06 | 1999-08-03 | Brenda Sue Baker | System and method for database access administration |
US5880731A (en) * | 1995-12-14 | 1999-03-09 | Microsoft Corporation | Use of avatars with automatic gesturing and bounded interaction in on-line chat session |
FR2745649B1 (fr) * | 1996-03-01 | 1998-04-30 | Bull Sa | Systeme de configuration de logiciels preconfigures sur des systemes ouverts en reseau dans un environnement distribue et procede mis en oeuvre par un tel systeme |
US6098081A (en) * | 1996-05-06 | 2000-08-01 | Microsoft Corporation | Hypermedia navigation using soft hyperlinks |
JPH10198593A (ja) * | 1997-01-10 | 1998-07-31 | Nec Corp | オブジェクト指向データベースシステム |
US6038563A (en) | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
US6470332B1 (en) * | 1999-05-19 | 2002-10-22 | Sun Microsystems, Inc. | System, method and computer program product for searching for, and retrieving, profile attributes based on other target profile attributes and associated profiles |
-
1999
- 1999-11-22 US US09/447,443 patent/US6950819B1/en not_active Expired - Lifetime
-
2000
- 2000-10-19 AU AU15737/01A patent/AU1573701A/en not_active Abandoned
- 2000-10-19 CN CNB008159122A patent/CN100414471C/zh not_active Expired - Lifetime
- 2000-10-19 EP EP00978258A patent/EP1232432A2/en not_active Withdrawn
- 2000-10-19 WO PCT/US2000/029057 patent/WO2001038971A2/en active Application Filing
- 2000-10-19 JP JP2001540459A patent/JP2003515806A/ja active Pending
-
2002
- 2002-10-18 HK HK02107600.5A patent/HK1046963A1/zh unknown
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100430951C (zh) * | 2004-11-05 | 2008-11-05 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
CN101076033B (zh) * | 2006-05-20 | 2011-11-09 | 国际商业机器公司 | 存储认证证书的方法和系统 |
CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
Also Published As
Publication number | Publication date |
---|---|
HK1046963A1 (zh) | 2003-01-30 |
WO2001038971A2 (en) | 2001-05-31 |
EP1232432A2 (en) | 2002-08-21 |
AU1573701A (en) | 2001-06-04 |
WO2001038971A3 (en) | 2002-03-07 |
JP2003515806A (ja) | 2003-05-07 |
CN100414471C (zh) | 2008-08-27 |
US6950819B1 (en) | 2005-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7461395B2 (en) | Distributed capability-based authorization architecture using roles | |
US6438549B1 (en) | Method for storing sparse hierarchical data in a relational database | |
US6823338B1 (en) | Method, mechanism and computer program product for processing sparse hierarchical ACL data in a relational database | |
Al-Kahtani et al. | Induced role hierarchies with attribute-based RBAC | |
US7487154B2 (en) | Method and apparatus for generating page-level security in a computer generated report | |
US7788489B2 (en) | System and method for permission administration using meta-permissions | |
US7636719B2 (en) | Contact schema | |
JP4008089B2 (ja) | 電子ファイルシステムの複数のファイルの管理方法 | |
JP4726563B2 (ja) | データベース内のデータに対する既定のクエリへの複数ユーザによるアクセスを管理する方法 | |
CN1451109A (zh) | 简化的ldap访问控制语言系统 | |
EP1492003A2 (en) | Sharing computer objects with associations | |
JP4892179B2 (ja) | データ項目のためのゾーンベースのセキュリティ管理 | |
US20050102297A1 (en) | Directory system | |
US20040073869A1 (en) | E-service to manage contact information and track contact location | |
US6370553B1 (en) | Atomic and molecular documents | |
US20060137019A1 (en) | Techniques for managing access to physical data via a data abstraction model | |
JP2010067277A (ja) | マルチユーザーインターネットアクセスおよび保安装置 | |
JP2007524884A (ja) | 階層的な役割ベース資格のためのシステム及び方法 | |
US20040267707A1 (en) | Personal portal and secure information exchange | |
US6266670B1 (en) | User level accessing of low-level computer system operations. | |
Henricksen et al. | Extending context models for privacy in pervasive computing environments | |
CN102279853A (zh) | 一种基于ldap的快速数据访问方法 | |
US20020194165A1 (en) | System and method for address book customization for shared emessaging | |
Yu et al. | A compressed accessibility map for XML | |
Valzelli et al. | A Fine-grained Access Control Model for Knowledge Graphs. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20080827 |
|
CX01 | Expiry of patent term |