test

Sun Java System Communications Services 6 2005Q4 Delegated Administrator 管理ガイド

ACI の統合と削除

この項に示した ldif ファイル replacement.acis.ldif は統合した ACI をルートサフィックスにインストールし、使用していない ACI をディレクトリから削除します。Delegated Administrator が提供するこの ldif ファイルは、次のディレクトリにあります。

da_base/lib/config-templates

ldapmodify コマンドを実行して replacement.acis.ldif ファイルをディレクトリに適用すると、ルートサフィックスにある aci 属性のすべてのインスタンスが削除され、replacement.acis.ldif ファイルにある ACI と置き換えられます。

このように、処理手順としては、まずルートサフィックスからすべての ACI を削除してから、下記の ACI と置き換えます。ポータルサーバーなど、ほかのアプリケーションによって生成された ACI がディレクトリに含まれている場合は、その ACI を別のファイルに保存しておき、replacement.acis.ldif ファイルを適用したあとに再度追加します。

この ldif ファイルを使用して ACI を整理する手順については、「ACI を置き換える手順」を参照してください。

replacement.acis.ldif File

dn: $rootSuffix
changetype: modify
replace: aci
aci: (targetattr = “*”)(version 3.0; acl “Configuration Administrator”;
   allow (all)
   userdn=”ldap:///uid=admin,ou=Administrators,ou=TopologyManagement,
o=NetscapeRoot”;)
aci: (target=”“ldap:///$rootSuffix”)
  (targetfilter=(!(objectclass=sunServiceComponent)))
  (targetattr != “userPassword||passwordHistory
   ||passwordExpirationTime||passwordExpWarned||passwordRetryCount
  ||retryCountResetTime||accountUnlockTime||passwordAllowChangeTime”)
  (version 3.0; acl “anonymous access rights”;
   allow (read,search,compare)
   userdn = “ldap:///anyone”; )
aci: (targetattr != “nsroledn||aci||nsLookThroughLimit||nsSizeLimit
  ||nsTimeLimit||nsIdleTimeout||passwordPolicySubentry||passwordExpiration
    Time
  ||passwordExpWarned||passwordRetryCount||retryCountResetTime
  ||accountUnlockTime||passwordHistory||passwordAllowChangeTime||uid||mem
    berOf
  ||objectclass||inetuserstatus||ou||owner||mail||mailuserstatus
  ||memberOfManagedGroup||mailQuota||mailMsgQuota||mailhost
  ||mailAllowedServiceAccess||inetCOS||mailSMTPSubmitChannel”)
  (version 3.0; acl “Allow self entry modification”;
  allow (write)
  userdn =”ldap:///self”;)
aci: (targetattr != “ aci || nsLookThroughLimit || nsSizeLimit
  || nsTimeLimit|| nsIdleTimeout”)
  (version 3.0; acl “Allow self entry read search”;
  allow(write)
  userdn =”ldap:///self”;)
aci: (target=”ldap:///$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “S1IS Proxy user rights”;
  allow (proxy)
  userdn = “ldap:///cn=puser,ou=DSAME Users,
  $rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “S1IS special dsame user rights for all under the root
   suffix”;
  allow (all)
  userdn = “ldap:///cn=dsameuser,ou=DSAME Users,
  $rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “S1IS special ldap auth user rights”;
  allow (read,search)
  userdn = “ldap:///cn=amldapuser,ou=DSAME Users,
  $rootSuffix”; )
aci: (target=”ldap:///$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “S1IS Top-level admin rights”;
  allow (all)
  roledn = “ldap:///cn=Top-level Admin Role,
  $rootSuffix”; )
aci: (targetattr=”*”)
  (version 3.0; acl “Messaging Server End User Administrator Read Only
   Access”;
  allow (read,search)
  groupdn=”ldap:///cn=Messaging End User Administrators Group,ou=Groups,
  $rootSuffix”;)
aci: (targetattr=”objectclass || mailalternateaddress || Mailautoreplymode
   || mailprogramdeliveryinfo || preferredlanguage || maildeliveryoption
   || mailforwardingaddress || mailAutoReplyTimeout
   || mailautoreplytextinternal
   || mailautoreplytext || vacationEndDate || vacationStartDate
   || mailautoreplysubject || maxPabEntries || mailMessageStore
   || mailSieveRuleSource || sunUCDateFormat || sunUCDateDeLimiter
   || sunUCTimeFormat || mailuserstatus || maildomainstatus”)
  (version 3.0; acl “Messaging Server End User Administrator All Access”;
  allow (all)
  groupdn = “ldap:///cn=Messaging End User Administrators Group,ou=Groups,
  $rootSuffix”;)
aci: (targetattr = “*”)
  (version 3.0;acl “Allow Read-Only Access”;
  allow (read,search,compare)
  groupdn = “ldap:///cn=Read-Only,ou=Groups,
  $rootSuffix”;)
aci: (target=”ldap:///cn=Organization Admin Role,($dn),$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “S1IS Organization Admin Role access deny”;
  deny (write,add,delete,compare,proxy)
  roledn = “ldap:///cn=Organization Admin Role,($dn),
  $rootSuffix”;)
aci: (target=”ldap:///($dn),$rootSuffix”)
  (targetattr=”*”)
  (version 3.0; acl “Organization Admin Role access allow read”;
  allow(read,search)
  roledn = “ldap:///cn=Organization Admin Role,[$dn],
  $rootSuffix” ;)
aci: (target=”ldap:///($dn),$rootSuffix”)
  (targetfilter=(!(|(nsroledn=cn=Top-level Admin Role,$rootSuffix)
  (entrydn=($dn),$rootSuffix))))
  ( targetattr = “*”)
  (version 3.0; acl “S1IS Organization Admin Role access allow”;
  allow (all)
  roledn = “ldap:///cn=Organization Admin Role,[$dn],
  $rootSuffix”;)

ACI を置き換える手順

始める前に

この手順を開始する前に、ディレクトリにある ACI を確認してください。この処理によって削除される ACI の中に、必要なものがないかどうかを調べる必要があるためです。

この手順では、まずすべての ACI をルートサフィックスから削除して、以下に示されている ACI に置き換えます。Massaging Server 以外のアプリケーションによって生成された ACI がディレクトリに含まれている場合は、その ACI を別のファイルに保存しておき、replacement.acis.ldif ファイルを適用したあとに再度追加します。

Access Manager と Messaging Server によって生成された既存の ACI を分析する方法については、この付録の後半にある次の項を参照してください。

ACI の置き換え

次の手順に従って、ルートサフィックスの ACI を統合し、使用していない ACI を削除します。

ProcedureACI を置き換える

手順

  1. ルートサフィックスにある既存の ACI を保存します。

    これは、次の例のように、ldapsearch コマンドを使って行います。

    ldapsearch -Dcn=Directory Manager -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>

    各表記の意味は次のとおりです。

    <directory manager> は、Directory Server 管理者のパスワードです。

    <$rootSuffix> は、ルートサフィックスです (o=usergroup など)。

    <filename> は、保存された ACI が書き込まれるファイルの名前です。

  2. replacement.acis.ldif ファイルをコピーし、名前を変更します。

    Delegated Administrator をインストールすると、replacement.acis.ldif ファイルが次のディレクトリにインストールされます。

    da_base /lib/config-templates

  3. replacement.acis.ldif ファイルのコピーの $rootSuffix エントリを編集します。

    ルートサフィックスのパラメータ $rootSuffix をユーザーのルートサフィックス (o=usergroup など) に変更します。$rootSuffix パラメータは ldif ファイルの中に繰り返し現れるので、必ずすべてのインスタンスを置き換えてください。

  4. LDAP ディレクトリツール ldapmodify を使用して、ACI を置き換えます。

    コマンド実行の例を次に示します。

    ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>

    各表記の意味は次のとおりです。

    <directory manager> は Directory Server 管理者の名前です。

    <password> は、Directory Service 管理者のパスワードです。

    <replacement.acis.finished.ldif> は、ディレクトリ内で ACI の統合と削除を行うための編集済み ldif ファイルの名前です。

動的組織 ACI の削除

Delegated Administrator コンソールで 1 つの組織を作成すると、その組織ノードに ACI のグループが 1 つ作成されます。

前述のとおり ACI を置き換えると、こうした組織ごとの ACI は不要になります。この場合は、Access Manager コンソールを使用して、組織ごとに ACI が作成されないようにします。

Procedure動的組織 ACI を削除する

手順

  1. amadmin として AM コンソールにログインします。

    AM コンソールは、次の URL にあります。

    http://< machine name>:<port >/amconsole

    各表記の意味は次のとおりです。

    <machine name> は、Access Manager を実行しているマシンです。

    <port> は、ポートです。

  2. サービス設定」タブを選択します。

    デフォルトでは、「管理」設定ページが表示されます。

  3. コンソールの右側をスクロールダウンして、「ダイナミック管理ロール ACI」を表示します。

  4. ダイナミック管理ロール ACI」のテキストボックスの中にあるすべての ACI を選択して、削除します。

  5. 変更した設定を保存します。