Interstage Application Server セキュリティシステム運用ガイド

目次 索引

6.3.2.3 InfoDirectoryへのアクセス制御対象のアクセス権の登録

　トランザクションアプリケーションのアクセス制御を行うためには、アクセス制御の対象により、ワークユニットまたはオブジェクトをInfoDirectoryにエントリとして登録します。

　その後、InfoDirectoryのアクセス制御情報(ACI)により、個々のエントリのアクセス権の設定を行います。

　なお、アクセス制御を実施する場合は、“InfoDirectoryへのユーザの登録"によるユーザの登録が必要です。この登録されたユーザがアクセス制御対象資源にアクセス可能かを、InfoDirectoryのACIで設定します。

オブジェクトの登録

　サーバオブジェクトは、InterstageapplicationProcessクラスとしてInfoDirectoryにエントリ登録します。

　このエントリには、ワークユニット定義の“あて先名(Destination)"の指定値をInterstageapplicationProcesクラスのcn属性に指定してください。そして、cn属性をRDNとして設定してください。その他の属性の設定は、任意です。

設定例

　ワークユニット定義：
　　　 [Application Program]
　　　 Destination:MOD1/INTF1

　エントリの設定：
　　　cn=MOD1/INTF1

ワークユニットの登録

　ワークユニットを登録する場合は、まず、ワークユニット内の最低１つのオブジェクトをエントリ登録する必要があります。そして、そのエントリを要素とするgroupOfNamesクラスとして、ワークユニットをInfoDirectoryにエントリ登録します。

　groupOfNamesクラスのcn属性としては、ワークユニット定義の"ワークユニット名"を指定します。member属性としては、ワークユニット配下のオブジェクトのエントリのDNを指定します。cn属性をRDNとして指定してください。

　その他の属性は、任意に指定することができます。

設定例

　ワークユニット定義：
　　　 [WORK UNIT]
　　　 Name:WU1
　　　 Kind:ORB

　エントリの設定：
　　　 cn=WU1

　オブジェクトおよびワークユニットの各エントリは、InfoDirectoryのディレクトリ階層上の登録箇所は任意ですが、ワークユニット定義のAccess Control Base DNで指定したDNの階層下に登録する必要があります。アクセス制御ではアクセス権を検査する際にInfoDirectoryでアクセス制御対象のエントリを検索します。この検索効率を考慮して、アクセス制御対象のエントリの直接上位のDNをAccess Control Base DNで指定することを推奨します。

• Access Control Base DNで指定したエントリのディレクトリでの階層の下位に同一のcn属性を持つエントリが複数登録されている場合、アクセス制御が正常に動作しないことがあります。
  正常にアクセス制御が行われない登録例：
  
  　以下で、アクセス制御対象のエントリのcn属性がともに"mod/intf"で、Access Control Base DNが"o=abc,c=jp"であるため、Access Control Base DNの階層下に、cn属性が同一の2つのアクセス制御対象が存在することになり、アクセス制御対象のエントリを一意に特定できないため、アクセス制御が正しく動作しない場合があります。
  　このような場合は、それぞれのオブジェクトのワークユニット定義で指定するAccess Control Base DNを"ou=dev1,o=abc,c=jp"および"ou=dev2,o=abc,c=jp"として、階層下の各エントリにcn属性の一意性を保たれるようにしてください。

　　　　アクセス対象のエントリ:
　　　　　　　cn=mod/intf,ou=dev1,o=abc,c=jp
　　　　　　　cn=mod/intf,ou=dev2,o=abc,c=jp

　　　　　　　Access Control Base DN: o=abc,c=jp

• InfoDirectoryに登録するオブジェクトとワークユニットの名前では、英字に大文字・小文字の区別がありません。このため、アクセス制御対象のワークユニットとサーバオブジェクトの名前では、大文字・小文字のみの違いの名称を重複して使用することはできません。

ACIの登録

　InfoDirectoryでエントリのアクセス権の設定は、アクセス制御情報(ACI:Access Control Information)により設定します。ACIの概要については、"InfoDirectory使用手引書 第1部 ディレクトリサービス編"を参照してください。ACIの設定方法の詳細については、"InfoDirectory使用手引書 第2部 管理ツール編"を参照してください。

　ここでは、コンポーネントトランザクションサービスのアクセス制御を行う場合の、ACIの設定方法について説明します。

アクセス制御管理ポイントの設定

　アクセス制御管理ポイントは、アクセス制御対象のエントリを包含するように、最低1つ設定します。また、必要に応じて複数設定できます。

　アクセス制御管理ポイントの設定値は、次のように設定してください。特に指定のない設定値は任意です。なお、説明は、InfoDirectoryの管理ツールのウィンドウごとに示します。InfoDirectoryの管理ツールのウィンドウについては"InfoDirectory使用手引書 付録D 設定例"を参照してください。

ACI一覧ウィンドウ

　アクセス制御管理ポイントおよびACIを設定するエントリを選択します。

アクセス制御管理ポイント設定ウィンドウ

　アクセス制御管理ポイントを設定します。アクセス制御管理ポイントは、コンポーネントトランザクションサービスのアクセス制御の対象のエントリを包含するエントリに設定します。

　アクセス制御管理ポイントの設定値は、次のように設定してください。

• 管理ポイント種別
  　“自治＋特定管理ポイント”を選択してください。
  
• アクセス制御スキーマ種別
  　“基本アクセス制御”を選択してください。

ACI設定ウィンドウ

　アクセス制御管理ポイント内で、アクセス対象のエントリごと、または、任意の範囲のエントリ単位にACIを設定することができます。ACI一覧ウィンドウで選択した位置にACIが設定されます。

• ACIタイプ
  　1つのアクセス対象のエントリのアクセス権を設定する場合は、"エントリACI"を選択してください。
  　ACIで、設定位置配下の複数のエントリに対してアクセス権を設定する場合は、"包括ACI"を選択してください。なお、この場合、アクセス権を設定するエントリの範囲の設定は、アクセス対象範囲設定ウィンドウで行います。また、このACIの設定エントリには、アクセス制御管理ポイントが設定されている必要があります。
  
• 認証レベル
  　“パスワードあり”を選択してください。
  
• アクセス対象属性
  　“エントリ(属性含む)"を選択してください。アクセス対象属性選択ウィンドウにて選択します。
  
• アクセスユーザ
  　アクセスユーザ設定ウィンドウおよびアクセスユーザ範囲設定により行います。

アクセスユーザ設定ウィンドウ

　アクセスユーザのアクセス権限を設定します。

• 権限
  　“読み込み権”、“比較権”および“異常通知権”を“許可”としてください。他の権限は任意です。

　アクセス制御管理ポイント設定時、アクセス制御情報作成時に指定するDNに使用できる文字は、英数字、日本語、空白文字（ただし、文字列の途中に現れる場合）および"/"（スラッシュ）です。このため、アクセス制御対象のワークユニット名、および、あて先名に英数字、日本語以外および"/"（スラッシュ）を使用する場合にはACIの登録に注意が必要です。これらの名前のワークユニットおよびオブジェクトを個別にアクセス制御対象とする場合は、ディレクトリ上の上位階層にACI設定可能なDNを登録し、そのDNに対して包括ACIを設定して、対象のアクセス権を設定するようにしてください。

　また、アクセスユーザの設定についても、アクセス対象範囲指定の基点エントリおよびアクセスユーザ範囲の基点エントリに指定するDNには英数字、日本語、空白文字（ただし、文字列の途中に現れる場合）および"/"（スラッシュ）が使用できます。

目次 索引