使用 LDAP OU 限制访问
http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_organizational_units.html#Restrict_Access_Using_LDAP_Organizational_Units?locale=zh
要让此方法生效,您必须在 IBM Cognos Configuration 中安全、认证类别下正确设置基本专有名称和用户查找属性。通过使用这些属性的不同值,您可以为 LDAP 目录结构中的不同 OU 授予访问权限。
请考虑以下目录树:
如果仅“东部”OU 的用户需要访问 IBM Cognos Connection,那么可以按下表中所列出的内容指定值。
| 属性 | 值 |
|---|---|
| 基本专有名称 | ou=East,ou=people,dc=abc,dc=com |
| 用户查找 | uid=${userID} |
如果“东部”和“西部”OU 的用户都需要访问权限,那么可以按下表中所列出的内容指定值。
| 属性 | 值 |
|---|---|
| 基本专有名称 | ou=people,dc=abc,dc=com |
| 用户查找 | (uid=${userID}) |
用户查找属性中的括号 () 用作可搜索位于指定“基本 DN”下的所有 OU 的过滤器。在第一个示例中,仅为用户帐户搜索“东部”OU。在第二个示例中,会搜索“东部”和“西部”OU。
然而,在以上两个示例中,排除组对 IBM Cognos Connection 的访问,因为它们位于用户以外的目录树的不同分支。要包括组和用户,“基本 DN”必须在目录树的根目录中。然后,值如下表中所列出。
| 属性 | 值 |
|---|---|
| 基本专有名称 | dc=abc,dc=com |
| 用户查找 | (uid=${userID}) |
因此,该目录中的所有用户具有对 IBM Cognos Connection 的访问权限。
最后一个示例显示使用 OU 不一定始终是保护 IBM Cognos Connection 访问安全的最有效方式。如果您想要对特定 OU 中所有用户授予访问权限,那么可以使用此方法。如果您仅想要为特定用户授予访问权限,那么可能想要考虑在目录服务器中创建指定的 IBM Cognos BI 组或角色,并为此组或角色授予对 IBM Cognos Connection 的访问权限。