| InfoDirectory使用手引書 |
|
目次
索引
|
| 第1部 ディレクトリサービス編 | > 第2章 機能 | > 2.2 サーバ機能 | > 2.2.3 アクセス制御 |
アクセス制御情報には、以下の2種類があります。
アクセス制御情報の設定について、以下に説明します。
包括ACIとは、管理領域内全体を対象にできる包括的なアクセス制御です。この情報は通常のエントリとは異なるサブエントリに格納します。このサブエントリの情報は通常のディレクトリ利用者からは見えないようにガードされています。
あるエントリ配下のすべてのエントリに対して同じアクセス制御を設定したい場合、基点となるエントリに包括ACIを設定すると、配下の全エントリに対してアクセス制御が有効となります。
エントリACIとは、各エントリが保持している運用属性で、そのエントリ自身に対するアクセス制御です。設定する情報は包括ACIと同じですが、格納先は該当するエントリの中に保持されます。
あるエントリにのみ有効なアクセス制御情報を設定したい場合、対象となるエントリ自身にエントリACIを設定すると、そのエントリ自身に対するアクセス制御が有効となります。
各ACIで組合せる情報を以下に示します。なお、アクセス制御範囲は包括ACIのみ設定する必要があります。
アクセス制御範囲は、以下の2種類あります。
包括ACIを作成したエントリ配下すべてに適用することができます。
指定したオブジェクトクラスに対し適用することができます。
InfoDirectoryサーバ内に保持されているエントリの情報にアクセスする場合、アクセス権がなければエントリの情報にアクセスすることはできません。InfoDirectoryサーバ内では、まず、アクセス権があるか確認します。
アクセス権限の種類は、以下の表のようになっています。
|
権限 |
意味 |
|---|---|
|
読込権 |
エントリ/属性値の読出しや書込みを行う権限です。 |
|
参照権 |
エントリ/属性値を参照する権限です。 |
|
比較権 |
属性値の比較を行う権限です。 |
|
フィルタ比較権 |
フィルタ検索の比較を行う権限です。 |
|
DN通知権 |
正常結果でのエントリの名前の開示権限を設定します。 |
|
異常通知権 |
エラー結果でのエントリ名/属性値の開示権限を設定します。 |
|
追加権 |
エントリ/属性値の追加を行う権限です。 |
|
更新権 |
エントリの更新を行う権限です。 |
|
削除権 |
エントリ/属性値の削除を行う権限です。 |
|
エクスポート権 |
現在位置のDITからほかの位置へエントリが移動するときの権限です。 |
|
インポート権 |
ほかの位置から現在位置のDITへエントリが移動するときの権限です。 |
|
RDN変更権 |
エントリのDNを更新する権限です。 |
各アクセス権に対する許可/拒否を指定します。
アクセス制御では、保護する対象を指定することが可能です。以下の項目に対して保護できます。
エントリの全属性の属性値がアクセス対象となります。
エントリのみがアクセス対象となります。
指定した属性タイプの属性値のみがアクセス対象となります。
アクセス制御では、アクセスを許可するユーザを指定することが可能です。以下のような指定が行えます。
範囲には、以下のような指定が行えます。
優先度は、番号指定により優先順位を決定します。なお、数字は0から255まで指定することができ、数字が大きいほど優先順位が高いです。
ユーザがInfoDirectoryサーバにアクセスする場合の認証レベルを指定します。以下のレベルを指定することができます。
ここでは、包括ACIとエントリACIの設定例を説明しています。
「o=富士通,c=jp 配下の全従業員が自分以外の従業員の情報を参照可能」とし、「自分自身のエントリは自分だけが更新できるような包括ACI」を設定する場合の例を以下に示します。
「o=富士通,c=jp 配下の全従業員から、cn=富士通太郎,o=富士通,c=jp の携帯電話番号を参照できないようにするエントリACI」を設定する場合の例を以下に示します。
|
目次
索引
|