openldap上的ACL由OU和/或使用regexp进行DN检查来组织

例如：

access to attrs=userPassword
    by anonymous auth
    by self write
    by dn.base="ou=users_with_userPassword_write_access,dc=myproduct,dc=org" write
    by dn.exact="cn=manager,dc=myproduct,dc=org" write
    by * none

access to *
    by dn.exact="cn=manager,dc=myproduct,dc=org" write
    by dn.base="ou=users_with_powerfull_write_access,dc=myproduct,dc=org" write
    by * none

因此，关于登录用户的dn（whoami_s，使用python ldap），您可以确定用户是否具有某些权限。您不需要测试是否可以编写数据，在django应用程序中实现检查DN的函数。在

也许你是说ACL是自然生成的？在

关于您的评论，如果您的ACL是静态的，要知道ACL，更简单的方法是实现实现这些ACL的python工具。以我之前的例子：

目前，PythonLDAP无法检索slapd.conf文件的ACL。。。解析slapd.conf文件（因为slapd.conf文件可以是系统上的“任何地方”，ACLs声明可能很难解析），而且尝试在LDAP后端写入数据会耗费大量时间。在

我知道这不太令人满意。另一个解决方案是使用“服务用户”。只有此用户具有LDAP后端的写访问权限。在

它简化了ACL的写入：

然后，在普通用户上，设置授权标志。 当登录的用户想做某事时，应用程序会检查标志。如果这个标志正常，服务用户在后端写入数据。在

这是我们在其中一个应用程序上部署的策略。在

在这两种情况下，ACL的检查是由我们的应用程序完成的，而不是由ldap后端完成的。在

在OpenLDAP中，ACL定义在DIT之外。 如果您想用ldap查询访问ACL，可以使用FedoraDS（389目录服务器）：http://directory.fedoraproject.org/wiki/Howto:AccessControl

你也可以看到OpenDS(https://www.opends.org)在

我想我会尝试“测试”的方法，如果太慢的话，也许用一些缓存。 我之所以只想在ldap服务器上保留ACL定义，是因为还有其他与服务器交互的方式（将有cli工具，还有标准的ldap工具），所以我希望保持这些接口在ACL方面保持同步，只需要一个地方来定义ACL