InfoDirectory使用手引書
目次 索引 前ページ次ページ

第1部 ディレクトリサービス編> 第2章 機能> 2.2 サーバ機能> 2.2.3 アクセス制御

2.2.3.1 アクセス制御管理ポイント

 アクセス制御を適用するには、InfoDirectoryサーバを複数の領域に分けて管理する必要があります。そのため、アクセス制御管理ポイントの指定を行います。

 アクセス制御管理ポイントとは、個々の領域のトップエントリに設定するポイントのことをいいます。

 アクセス制御管理ポイントは複数の設定が可能であり、それぞれの管理領域内でアクセス制御が適用されます。

 アクセス制御管理ポイントをトップエントリとする領域を、アクセス制御管理領といいます。

 アクセス制御管理ポイントには、以下の3種類があります。

2.2.3.1.1 自治管理ポイントと自治管理領域

 自治管理ポイントは、"jp"のように国名をあらわすエントリをトップエントリとするDSAを作成した場合に、トップエントリに自動的に設定されます。

 DSA作成時に自動的に設定される管理ポイントは自治管理ポイントのみです。他の管理ポイントはDSA作成後に設定する必要があります。

[図: 自治管理ポイントと自治管理領域]

 

2.2.3.1.2 特定管理ポイントと特定管理領域

 特定管理ポイントが設定されたエントリに、包括ACIを作成することにより、特定管理領域内のエントリすべてに対して有効なアクセス制御を設定できます。

 特定管理領域内の任意のエントリにエントリACIを作成することにより、そのエントリに対するアクセス制御を設定することができます。

[図: 特定管理ポイントと特定管理領域]

 1つの自治管理領域内に複数の特定管理ポイントを設定することができます。

 また、ある特定管理領域内の任意のエントリに対して特定管理ポイントを設定することも可能です。その場合、上位のエントリをトップエントリとする特定管理領域と、内部のエントリをトップエントリとする特定管理領域は、お互いに独立した領域となります。

[図: 複数の特定管理領域]

 自治管理ポイントと特定管理ポイントを同一のエントリに設定した場合、その管理ポイントを“自治+特定管理ポイント”とし、その領域を“自治+特定管理領域”といいます。“自治+特定管理領域”は特定管理領域と同様に扱います。

[図: 自治+特定管理ポイントと自治+特定管理領域]

 

2.2.3.1.3 内部管理ポイントと内部管理領域

 内部管理ポイントが設定されたエントリに包括ACIを作成することにより、内部管理領域内のエントリすべてに対して有効なアクセス制御を設定できます。

 特定管理領域内に内部管理領域を定義しても、特定管理領域が分割されることはありません。内部管理領域は特定管理領域内に含まれる形で定義されます。

[図: 内部管理ポイントと内部管理領域]

 内部管理ポイントを設定するには、そのエントリより上位のエントリに特定管理ポイントが設定されている必要があります。

 すでに管理ポイントが設定されているエントリに内部管理ポイントを設定することはできません。また、自治管理領域内に内部管理領域を設定することもできません。内部管理ポイントは必ず特定管理領域内のエントリに設定してください。

 

アクセス制御管理ポイント 設定例

たとえば、「c=jpに自治管理ポイント、o=富士通,c=jpに特定管理ポイント、ou=A開発部,o=富士通,c=jpに内部管理ポイント」を設定した場合の例を以下に示します。

設定例

 c=jp : 自治管理ポイント

 o=富士通,c=jp : 特定管理ポイント

 ou=A開発部,o=富士通,c=jp : 内部管理ポイント

[図: アクセス制御管理領域とポイント]


目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2005