| InfoDirectory使用手引書 |
|
目次
索引
|
| 第1部 ディレクトリサービス編 | > 第2章 機能 | > 2.2 サーバ機能 | > 2.2.3 アクセス制御 |
アクセス制御を適用するには、InfoDirectoryサーバを複数の領域に分けて管理する必要があります。そのため、アクセス制御管理ポイントの指定を行います。
アクセス制御管理ポイントとは、個々の領域のトップエントリに設定するポイントのことをいいます。
アクセス制御管理ポイントは複数の設定が可能であり、それぞれの管理領域内でアクセス制御が適用されます。
アクセス制御管理ポイントをトップエントリとする領域を、アクセス制御管理領域といいます。
アクセス制御管理ポイントには、以下の3種類があります。
アクセス制御を行うためには、自治管理ポイントを必ず設定しなければなりません。このポイントは、InfoDirectoryサーバ内に複数設定することができます。
設定した自治管理ポイント以下の領域内に、アクセス制御特定管理ポイントおよびアクセス制御内部管理ポイントを設定することができます。
自治管理ポイントをトップエントリとする領域を自治管理領域といいます。
自治管理領域内でアクセス制御を行いたい管理領域内のトップエントリに、特定管理ポイントを指定します。
自治管理領域内の任意のエントリに特定管理ポイントを設定することによって、特定管理ポイントが設定されたエントリをトップエントリとする特別な領域を作成することができます。
特定管理領域を、さらに分割して管理することができます。
特定管理領域内の任意のエントリに、内部管理ポイントを設定することにより、内部管理ポイントが設定されているエントリをトップエントリとする特別な領域を設定することができます。
この領域をアクセス制御内部管理領域(以下、内部管理領域とする)といいます。
自治管理ポイントは、"jp"のように国名をあらわすエントリをトップエントリとするDSAを作成した場合に、トップエントリに自動的に設定されます。
DSA作成時に自動的に設定される管理ポイントは自治管理ポイントのみです。他の管理ポイントはDSA作成後に設定する必要があります。
特定管理ポイントが設定されたエントリに、包括ACIを作成することにより、特定管理領域内のエントリすべてに対して有効なアクセス制御を設定できます。
特定管理領域内の任意のエントリにエントリACIを作成することにより、そのエントリに対するアクセス制御を設定することができます。
1つの自治管理領域内に複数の特定管理ポイントを設定することができます。
また、ある特定管理領域内の任意のエントリに対して特定管理ポイントを設定することも可能です。その場合、上位のエントリをトップエントリとする特定管理領域と、内部のエントリをトップエントリとする特定管理領域は、お互いに独立した領域となります。
自治管理ポイントと特定管理ポイントを同一のエントリに設定した場合、その管理ポイントを“自治+特定管理ポイント”とし、その領域を“自治+特定管理領域”といいます。“自治+特定管理領域”は特定管理領域と同様に扱います。
内部管理ポイントが設定されたエントリに包括ACIを作成することにより、内部管理領域内のエントリすべてに対して有効なアクセス制御を設定できます。
特定管理領域内に内部管理領域を定義しても、特定管理領域が分割されることはありません。内部管理領域は特定管理領域内に含まれる形で定義されます。
内部管理ポイントを設定するには、そのエントリより上位のエントリに特定管理ポイントが設定されている必要があります。
すでに管理ポイントが設定されているエントリに内部管理ポイントを設定することはできません。また、自治管理領域内に内部管理領域を設定することもできません。内部管理ポイントは必ず特定管理領域内のエントリに設定してください。
たとえば、「c=jpに自治管理ポイント、o=富士通,c=jpに特定管理ポイント、ou=A開発部,o=富士通,c=jpに内部管理ポイント」を設定した場合の例を以下に示します。設定例
c=jp : 自治管理ポイント
o=富士通,c=jp : 特定管理ポイント
ou=A開発部,o=富士通,c=jp : 内部管理ポイント
|
目次
索引
|