Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Directory Proxy Server 5 2004Q2 管理ガイド 

付録 A
Directory Proxy Server の判断機能

この付録では、一部の特定機能での Directory Proxy Server の制御の流れについて説明します。次の内容が含まれます。

接続時のグループの特定

クライアントが Directory Proxy Server に接続すると、Directory Proxy Server は一致が見つかるまで ids-proxy-sch-NetworkGroup オブジェクトの ids-proxy-con-Client 属性を調べます。ids-proxy-sch-NetworkGroup オブジェクトは、ids-proxy-con-priority 属性によって定義される重要度の高いものから低いものへと順に調べられます。Directory Proxy Server は、クライアントの IP アドレスと ids-proxy-con-client 属性が一致する最初のグループをクライアントに割り当てます。一致するグループが見つからない場合、接続は閉じられます。

バインド時のグループ変更

接続後、クライアントにはまず、IP アドレスに基づくグループが割り当てられます。ディレクトリへのバインド時に、クライアントは別のアクセス制御を持つ別のグループに切り替えることができます。これを行うには、バインド操作の成功時に評価される規則オブジェクトが、最初のグループのオブジェクトに含まれている必要があります。この規則が TRUE と評価されると、グループ変更アクションが実行され、クライアントに別のグループが割り当てられます。図 A-1 は、この機能を示しています。

図 A-1 バインド時のグループ変更

バインド時のグループ変更。接続後、クライアントにはまず、IP アドレスに基づくグループが割り当てられます。ディレクトリへのバインド時に、クライアントは別のアクセス制御を持つ別のグループに切り替えることができます。

バインド時のグループ変更の設定

次の手順は、簡単なバインド認証メカニズムを利用して、バインドが正常に行われたときに「cn=Directory Manager」によってグループを変更するように Directory Proxy Server を設定する方法を示しています。

バインド時のグループ変更の設定
  1. バインドが正常に行われたときに、ユーザー「cn="Directory Manager"」の切り替え先となる新しいネットワークグループを作成します。詳細は、「グループの作成」を参照してください。切り替えによってユーザーのグループをそのグループだけに限定するときは、「ネットワークグループ」パネルの「ネットワーク」タブで「IP バインドなし」を設定します。この場合、このグループが、一部の IP バインドを許可するすべてのネットワークグループの後に位置することを確認してください。
  2. 新しい「グループ変更」アクションを作成します。詳細は、「アクションオブジェクトの作成」を参照してください。「変更先」には、手順 1 で作成したグループの名前を指定します。「一致するクライアント DN」には「cn=Directory Manager」を指定します。その他すべてのグループに (「.*」)、「なし」 (グループ変更なし) を設定することもできます。
  3. バインドイベントを作成します。詳細は、「イベントオブジェクトの作成」を参照してください。「アクション」タブで、手順 2 で作成したグループ変更アクションを指定します。「条件」タブでは、「パスワードベースのバインド」を選択します。
  4. 手順 1 で作成したネットワークグループの「イベント」タブで、手順 3 で作成したバインドイベントを選択します。詳細は、「グループの変更」を参照してください。

TLS 接続確立時のグループの変更

バインド時のグループ変更メカニズムと似ている TLS 接続確立時のグループ変更では、クライアントが TLS セッションを正常に確立した時点でグループが変更されます。クライアントが TLS 接続を確立すると、SSL 確立時規則が評価され、その結果によってグループ変更アクションが実行されます。図 A-2 は、この機能を示しています。

図 A-2 TLS 接続確立時のグループの変更

TLS 接続確立時のグループ変更では、クライアントが TLS セッションを正常に確立した時点でグループが変更されます。

高可用性の設定

複数のバックエンドディレクトリサーバーが設定されている環境では、サーバー間でのロードバランスと、いずれかのバックエンドサーバーが停止した場合の別サーバーへのフェイルオーバーを Directory Proxy Server に設定できます。これを行うには、ロードバランスプロパティオブジェクト (「ロードバランスプロパティ」を参照) を作成し、負荷を分散するグループのオブジェクトに含める必要があります。また、バックエンドサーバーごとに LDAP サーバープロパティオブジェクト (「LDAP サーバープロパティ」を参照) を作成し、ロードバランスプロパティオブジェクトに含める必要もあります。ロードバランスプロパティオブジェクトには、それぞれのバックエンドサーバーが、合計負荷の何パーセントを負担するかを指定します。いずれかのバックエンドディレクトリサーバーが停止した場合、Directory Proxy Server はこの設定に基づいてサーバー間で負荷を再配分します。サーバーが停止すると、クライアントは別のサーバーにフェイルオーバーされます。Directory Proxy Server と LDAP サーバーの間のネットワークリンクが使用不能になった場合、または LDAP サーバーが応答しなくなった場合もフェイルオーバーが行われます (229 ページの「ids-proxy-con-keepalive-interval」を参照)。

クライアントが SASL メカニズムを利用してバインドしている場合、Directory Proxy Server はフェイルオーバーを実行できません。

リフェラルの実行

Directory Proxy Server は、リフェラルを実行できない LDAPv2 クライアントに代わってリフェラルを実行するように設定できます。バックエンド LDAP ディレクトリサーバーには、リフェラルを送信する機能が必要です。つまり、LDAPv3 標準をサポートしている必要があります。ディレクトリサーバーからのリフェラルを Directory Proxy Server が受信できるように、Directory Proxy Server とバックエンド LDAP サーバーの間では LDAPv3 を使用するように設定します (228 ページの「ds-proxy-con-use-version」を参照)。次に、グループのリフェラル (217 ページの「リフェラルの戻しを制御する」を参照) と、継続リフェラルポリシー (217 ページの「ids-proxy-con-search-reference」を参照) を設定します。



前へ      目次      索引      次へ     

Copyright 2004 Sun Microsystems, Inc. All rights reserved.