Sun Java System Directory Proxy Server 5 2004Q2 管理ガイド |
第 7 章
グループの作成と管理LDAP クライアントは LDAP ディレクトリからのサービスを要求する場合、Directory Proxy Server に接続します。Directory Proxy Server では、クライアントプロファイルからクライアントのアクセス権を特定し、クライアントがディレクトリからサービスを要求できるかどうかを決定します。次に、設定されている制限を適用し、要求を適切なディレクトリに転送します。この章では、Directory Proxy Server 設定エディタコンソールを使用して、クライアントを識別して制限を適用できるように Directory Proxy Server を設定する方法について説明します。
この章で説明する項目は、次のとおりです。
グループの概要Directory Proxy Server のしくみを理解するには、Directory Proxy Server ネットワークグループを理解することが重要です。ネットワークグループは、Directory Proxy Server が LDAP クライアントを識別する方法と、そのグループと一致するクライアントに対して Directory Proxy Server がどの制限を適用するかを決定します。Directory Proxy Server のグループを使用して LDAP クライアントからのディレクトリアクセスを効率的に制御するには、このグループの詳細を理解することが重要です。
ネットワークグループは、次の項目の識別に使用されます。
Directory Proxy Server は、接続の発信元属性をグループの条件と比較することで、そのクライアントがどのグループに属するか (クライアントのグループメンバーシップ) を決定します。サーバーは、降順の優先度 (高いものから低いものへ) で、現在設定されているグループを調べます。接続の発信元属性と最初に一致するネットワークグループ条件が接続に適用されます。このため、一般的な条件と具体的な条件を分けてグループを作成し、最も詳細かつ具体的なグループから最も一般的な汎用グループの順で優先順位を付けることが重要です。
クライアントに適合するグループが見つからない場合、クライアントの要求は拒否され、接続は閉じられます。このため、Directory Proxy Server の設定には少なくとも 1 つのグループエントリが必要です。
グループの優先度は、Directory Proxy Server 設定エディタコンソールの「ネットワークグループ」ウィンドウ (図 7-1 を参照) で、グループを配置することで指定されます。このウィンドウでは、リストの一番下にあるグループは上の方にあるグループよりも優先順位が低くなります。同じ重要度を持つグループを、同じ順序として定義することはできません。
図 7-1 Directory Proxy Server 設定エディタコンソール : ネットワークグループ
クライアントが属するグループは、最初は接続元のネットワークアドレス (たとえば、IP アドレス、ドメイン名、または両方) に基づいて決定されます。クライアントは、バインドが正常に行われた後でこのグループを変更することができます。詳細は、「イベントオブジェクトの作成と管理」を参照してください。クライアントがグループのメンバーシップを獲得することは、そのグループのすべてのプロパティがそのクライアントに適用されることを意味します。
図 7-2 は、クライアントからのクエリに応じて Directory Proxy Server がグループを決定する方法を示しています。
図 7-2 グループメンバーシップを特定するための Directory Proxy Server の意思決定ツリー
グループのネットワーク条件には、次の条件を指定できます。
クライアントの識別にドメイン名サフィックスの規則を使用する場合、DNS クエリに対して完全修飾名を返すように DNS を設定する必要があります。短縮名が返された場合は機能しません。
Directory Proxy Server がグループを特定する方法についてさらに詳しく理解するために、表 7-1 のサンプルグループのリストを参照してください。ここには、具体的なネットワーク条件から一般的な条件の降順で、優先度順に 5 つのグループが示されています。
表 7-1 サンプルグループ
優先度
グループ名
ネットワーク条件
5
Admin-machine
129.153.129.72
4
IT-management-subnet
129.153.120.0/24
3
Operations
.ops.sun.com
2
Catch-all
ALL
1
Trusted
0.0.0.0
LDAP クライアントが LDAP ディレクトリからのサービスを要求すると、Directory Proxy Server は、その要求が 129.153.129.72 という IP アドレスから送信されているかどうかを確認します。送信元が異なる場合、Directory Proxy Server は要求が 129.153.129.0/24 と一致するかどうかを確認します。一致しない場合、Directory Proxy Server は要求の送信元が .ops.sun.com であるかどうかを確認します。送信元が異なる場合、Directory Proxy Server は接続を catch-all グループに入れ、意思決定ツリーの次の段階に進みます (図 7-2 を参照)。
図 7-3 は、グループを作成するための Directory Proxy Server 設定エディタコンソールのインタフェースを示しています。
図 7-3 Directory Proxy Server のネットワークグループの定義
表 7-2 で、ネットワークグループを作成するときに指定できる条件の要約を示します。
表 7-2 ネットワークグループに適用できる条件
条件
説明
ロードバランス
ロードバランスプロパティによって指定される、このグループによる LDAP 要求の転送先となる LDAP サーバーのグループを指定できます。「ロードバランスプロパティ」
ネットワーク
要求が適切なグループにソートまたはフィルタリングされるように、クライアントの接続詳細とその他のネットワーク条件を指定できます。
イベント
グループに属するクライアントが、バインド後に指定のディレクトリに効率的にグループ変更できるように、グループにイベントを指定できます。イベントの既存オブジェクトのリストが表示されます。詳細は、「グループの作成」を参照してください。
暗号化
グループに暗号化条件 (たとえば、クライアントが SSL セッションを要求できるかどうか) を指定できます。
互換性
LDAPv2 仕様 (RFC 1777) では、クライアントが 1 つのセッションで複数回バインドすることはできません。しかし、この機能を必要としているクライアントもあります。このようなクライアントとの相互動作のために、このオプションを設定できます。
転送
バインド、比較、その他の LDAP 要求をサーバーに渡す条件を指定できます。
データの非表示
ディレクトリに含まれるエントリのどのサブツリー、エントリ、または属性をグループで非表示にするかを指定できます。禁止エントリプロパティの既存オブジェクトのリストが表示されます。詳細は、「禁止エントリプロパティ」を参照してください。
検索
グループの検索対象範囲とサイズ制限を指定できます。検索のサイズ制限プロパティのオブジェクトがリスト表示されます。詳細は、「検索のサイズ制限プロパティ」を参照してください。
属性
ある特定の種類の検索操作や比較操作が LDAP サーバーに転送されないようにするための規則を指定できます。属性名変更プロパティの既存オブジェクトのリストが表示されます。詳細は、「属性名変更プロパティ」を参照してください。
リフェラル
サーバーから返されるリフェラルをグループがどのように処理するかを、転送、実行、破棄から指定できます。LDAPv3 を実装しないクライアントは、転送されたリフェラルを認識できないので注意してください。この設定は、検索の継続リフェラルを除き、すべてのリフェラルに適用されます。
サーバーのロード
グループへの接続の合計数、1 接続あたりの並行および合計処理数、1 IP アドレスあたりの並行処理数など、詳細を指定できます。
グループの作成ここでは、Directory Proxy Server 設定エディタコンソールを使用してグループを作成する方法について説明します。グループを作成する前に「グループの概要」を参照し、Directory Proxy Server グループの重要性を理解してください。必要なグループを作成して優先度を設定したら、設定をテストしてグループがクライアント要求を適切にフィルタリングすることを確認してください。
ネットワークグループを作成するときには、さまざまな条件を指定できます。次に示す手順では、ユーザーインタフェースに表示される順で、すべての条件について説明します。適切な条件を選んでグループに設定してください。
Directory Proxy Server のネットワークグループを作成するには
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
- ナビゲーションツリーで、Network Groups を選択します。
右側のペインには既存のグループがリスト表示されます。
- 「新規」をクリックします。
「ネットワークグループ」ウィンドウが表示されます。
- 「名前」フィールドには、グループ名を入力します。この名前には、一意の英数文字列を指定する必要があります。
- 「有効」オプションが選択されていることを確認してください。デフォルトでは「有効」が選択されています。Directory Proxy Server の設定に含まれるグループに対しては、このオプションを選択する必要があります。設定に含まれるグループを無効にする場合は、このオプションの選択を解除します。
- 必要であれば、ドロップダウンメニューから「ロードバランス」プロパティを指定します。このプロパティによって、LDAP 要求の転送先である LDAP サーバーのグループが識別され、LDAP サーバーは、ロードバランスプロパティを使ってクライアントからの要求を処理できます。「ロードバランスプロパティ」で説明しているように、関連するドロップダウンリストに、ロードバランスプロパティの既存のオブジェクトが表示されます。該当するオブジェクトを選択します。デフォルトでは、オブジェクトは選択されていません (<なし>)。オブジェクトがない場合は、「新規」ボタンをクリックして、オブジェクトをその場で作成することができます。
新規 : 新しいロードバランスプロパティを作成するためのダイアログを表示します。
編集 : 既存のロードバランスプロパティを編集するためのダイアログを表示します。
- グループのネットワーク条件を指定して、要求をソートまたはフィルタリングするときは、左のフレームで「ネットワーク」を選択します。次に示す画面要素の説明を参照して、次のように適切なネットワーク値を指定します。
接続タイムアウトを指定します。デフォルトでは、値は指定されていません。つまり、接続タイムアウトは設定されていません。
接続中のクライアントの DNS の逆検索を有効にします。
TCP の遅延なしを有効にします。
クライアントネットワークバインド条件を定義します。
画面要素の説明は、次のとおりです。
接続タイムアウトを指定 : クライアントをアクティブでない状態にしておける時間を指定する場合は、このボックスを選択します。この時間が経過すると、Directory Proxy Server はクライアントへの接続を閉じることができます。この値は、秒単位で指定し、通常は 120 以上です。デフォルトでは、値は指定されていません。つまり、接続タイムアウトは設定されていません。TCP キープアライブが有効になっていない場合は、切断されたクライアント接続によってDirectory Proxy Server の処理が滞らないように、この属性を指定する必要があります。
接続中のクライアントの DNS の逆検索を実行 : この設定は、デフォルトで有効です。DNS の逆検索を無効にすると、Directory Proxy Server は接続するクライアントのドメイン名を検索するために DNS の逆検索を実行しません。また、DNS の逆検索を無効にすると、Directory Proxy Server のパフォーマンスが大幅に向上する場合があります。「クライアントネットワークバインド条件」の値にドメイン名またはドメイン名サフィックスを使用した場合は、「DNS の逆検索」を無効にしないでください。無効にすると、Directory Proxy Server が正しく機能しません。クエリを検索できるように、ホストの完全名を返すように DNS を設定する必要があります。
TCP の遅延なしを有効 : この設定は、デフォルトで有効です。このオプションを無効にすると、Directory Proxy Server はサーバーとこのグループに分類されるクライアントとの接続用の Nagle アルゴリズムを無効にします。「TCP の遅延なしを有効」は、Directory Proxy Server とクライアントとのネットワークの帯域幅が小さい場合にだけ無効にしてください。ただし、無効にすると、パフォーマンスが大幅に低下することがあります。
クライアントネットワークバインド条件 : このセクションは、このネットワークグループでバインドできるクライアントを指定する場合に使用します。
IP バインドなし : クライアントがグループへのバインド時にだけ切り替えるときは、このオプションを選択します。このオプションは、デフォルトで選択されています。クライアントが、バインド時に切り替える場合にだけこのグループを使用する場合は、このオプションを選択しません。
すべてのネットワークホストからバインド : すべてのホストがこのネットワークグループにバインドできるようにするときは、このオプションを選択します。
次のネットワーク条件とバインド : ネットワークグループと適合させるホストのドメイン名と IP アドレスを指定するときは、このオプションを選択します。選択した場合、バインドするホストのドメイン名または IP アドレスをグループに指定する必要があります。
追加 : ネットワーク条件を追加するためのダイアログを表示します。「ドメイン名」、「IP アドレス」、「IP アドレスとビット」、「IP アドレスと quad」という 4 つのオプションがあります。
編集 : ネットワーク条件を編集するためのダイアログを表示します。
削除 : ネットワーク条件を削除するためのダイアログを表示します。
ドメイン名のダイアログ : ネットワークグループにバインドできるクライアントのドメイン名サフィックスまたは完全ドメイン名を指定します (foo.sun.com など)。Directory Proxy Server は、デフォルトでドメインサフィックスを想定していないため、完全なドメイン名を指定する必要があります。先頭にピリオドが付いたドメイン名サフィックス (.sun.com など) を指定すると、そのサフィックスで終わるドメイン名を持つすべてのホストが適合します。
また、クライアントの識別にドメイン名サフィックスの規則を使用する場合、DNS クエリに対して完全修飾名を返すように DNS を設定する必要があります。短縮名が返された場合は機能しません。
IP アドレス : 1 つの IP アドレスを、10 進数をドットで区切った形式で指定します (198.214.11.1 など)。
IP アドレスとビット : IP ネットワークマスクを、<network number>/<mask bits> という形式で指定します (198.241.11.0/24 など)。前半部分はネットワーク番号を示し、後半部分は適合に必要なネットワーク番号のビット数を示します。
IP アドレスと quad : IP ネットワークマスクを、IP アドレスとドットで区切られた 10 進数の4つの値のペアで指定します (198.241.11.0/255.255.255.128 など)。前半部分はネットワーク番号を示し、後半部分は適合に必要なネットワーク番号のビット数を示します。たとえば、198.214.11.0/255.255.255.128 は IP アドレス 198.214.11.63 を持つホストに適合しますが、IP アドレス 198.214.11.191 を持つホストには適合しません。
ドメイン名またはドメイン名サフィックスを使用する場合は、「接続中のクライアントの DNS の逆検索を実行」を有効にする必要があります。
- グループにイベント駆動型のアクション (クライアントを別のグループに変更する、など) を関連付けるときは、左のフレームで「イベント」を選択し、右のフレームに適切な値を指定します。
画面要素の説明は、次のとおりです。
バインド : 「OnBindSucess イベントオブジェクトの作成」で説明しているように、ドロップダウンリストに OnBindSuccess イベントの既存のオブジェクトが表示されます。クライアントがバインド操作を正常に完了したときに実行されるオブジェクトの名前を選択します。デフォルトでは、オブジェクトは選択されていません (<なし>)。オブジェクトがない場合は、「新規」ボタンをクリックして、オブジェクトをその場で作成することができます。
SSL : 「SSL 確立時イベントオブジェクトの作成」で説明しているように、ドロップダウンリストに OnSSLEstablished イベントの既存のオブジェクトが表示されます。クライアントが SSL セッションを正常に確立したときに実行されるオブジェクトの名前を選択します。オブジェクトがない場合は、「新規」ボタンをクリックして、オブジェクトをその場で作成することができます。
編集 : イベントの動作を編集するためのダイアログボックスを表示します。
新規 : 新しいイベントを作成するためのダイアログボックスを表示します。
- グループに暗号化条件 (クライアントが SSL セッションを要求できるかどうか、など) を指定するときは、左のフレームで「暗号化」を選択し、右のフレームに適切な値を指定します。
画面要素の説明は、次のとおりです。
クライアント SSL ポリシー : クライアントの SSL ポリシーを設定します。
SSL を使用しない : SSL 暗号化を使用しない場合は、このオプションを選択します。
クライアントは SSL セッションを要求 : グループ内のクライアントが SSL を要求する SSL セッションを確立する場合は、このオプションを選択します。
クライアントは SSL セッションを確立する必要がある : グループ内のクライアントが、操作を実行する前に、SSL セッションを確立する必要がある場合は、このオプションを選択します。
リフェラルSSL ポリシー : リフェラルを実行している間の SSL ポリシーを設定します。
SSL を使用しない : SSL 暗号化を使用しない場合は、このオプションを選択します。
クライアントが実行してない場合は SSL を確立 : このオプションを有効にすると、クライアントが Directory Proxy Server により SSL セッションをすでに確立している場合にのみ、Directory Proxy Server はそのグループのクライアントに対して SSL を開始します。
すべてのリフェラルに SSL セッションを確立 : リフェラルに対してこのオプションを有効にすると、オペレーションの転送前に Directory Proxy Server が SSL セッションを開始します。
- グループに互換性条件 (クライアントが 1 回のセッションで複数回バインドできるようにする、など) を指定するときは、左のフレームで「互換性」を選択し、右のフレームに適切な値を指定します。
画面要素の説明は、次のとおりです。
LDAPv2 クライアントが単一セッションで複数回バインドできるようにする : LDAPv2 仕様 (RFC 1777) では、クライアントが 1 つのセッションで複数回バインドすることはできません。しかし、この機能を必要としているクライアントもあります。属性要求リストで 1 つまたは複数の属性を NULL として指定した検索要求をクライアントが送信できるようにグループを設定するときは、このオプションを選択します。この互換性機能を使用することで、Directory Proxy Server は誤った実装が行われている一部の Java ベースクライアントと相互動作できるようになります。属性要求リスト内の NULL という属性名は、LDAP プロトコルに違反しています。デフォルトでは、このオプションは TRUE に設定されています。
クライアントが属性タイプ名を指定せずに要求を送信できるようにする : クライアントの属性タイプ名が識別されない場合でも、クライアントが要求を送信できるようにグループを設定するときは、このオプションを選択します。
- グループの要求転送条件を指定するときは、左のフレームで「転送」を選択し、右のフレームに適切な値を指定します。
Directory Proxy Server は、クライアントからの接続を受け入れグループを割り当てると、クライアントが LDAP 操作を送信するまで待機します。Directory Proxy Server は、「クライアント DN」、「匿名バインドを許可」、「単純バインドを許可」、および「SASL バインドを許可」を使用して、バインド要求をサーバーに渡すか、バインド要求を拒否してクライアントの接続を閉じるかを判断します。
クライアントのバインドが有効かどうかのテストに合格すると、Directory Proxy Server はそのバインド要求をサーバーに転送します。サーバーがバインドを受け入れると、接続が確立されます。ただし、クライアントが LDAPv2 を使用していた場合、サーバーがバインド要求に対してエラー表示を返すと、Directory Proxy Server はそのエラー表示をクライアントに転送してクライアントへの接続を閉じます。
「バインド」タブの要素の説明は、次のとおりです。
すべてのクライアントを許可 : デフォルトでは、このオプションが選択されています。すべてのクライアントによるアクセスが許可されます。
DN に付属していないクライアントを拒否 : グループに識別名 (DN) を確認させるときは、このオプションを選択します。指定した DN に属さない識別名がバインドに指定されていないクライアントは、拒否されます。DN を作成するために LDAP ディレクトリを参照するときは「参照」ボタンをクリックします。
匿名バインドを許可 : デフォルトではこのオプションが有効です。クライアントがパスワードを提供しなかった場合でもバインドを許可します。匿名バインドを禁止するときは、このオプションを無効にします。
単純バインドを許可 : デフォルトではこのオプションが有効です。クライアントはパスワードをクリアテキストで指定できます。クリアテキストのパスワードによって認証されたバインド要求を禁止する場合は、このオプションを無効にします。
SASL バインドを許可 : デフォルトではこのオプションが有効で、SASL バインドが許可されます。SASL 認証を禁止するときは、このオプションを無効にします。
- 「オペレーション」タブを選択し、どの操作を転送するかを指定します。
デフォルトでは、Directory Proxy Server は検索要求と比較要求を転送します。また、Directory Proxy Server はバインド解除要求を認識し、LDAP サーバーへの接続を閉じます。
「オペレーション」タブの要素の説明は、次のとおりです。
検索操作を許可 : この設定は、デフォルトで有効です。Directory Proxy Server が検索要求をサーバーに転送しないようにするときは、このオプションを無効にします。
比較操作を許可 : この設定は、デフォルトで有効です。Directory Proxy Server が比較要求をサーバーに転送しないようにするときは、このオプションを無効にします。
追加、削除、変更、DN 変更、拡張操作を許可 : デフォルトでは、Directory Proxy Server は追加操作、変更操作、削除操作、DN 変更操作、拡張操作の各要求を転送しません。これらの操作を転送できるようにする場合は、該当する操作を有効にします。
クライアントが TLS 開始操作のネゴシエーションを行えるようにする場合は、「拡張操作を許可」を有効にする必要があります。
- グループのデータの非表示条件を指定するときは、左のフレームで「データの非表示」を選択し、右のフレームに適切な値を指定します。
ディレクトリツリーのどの部分を非表示にするかを指定するときは「サブツリー」タブを使用し、非表示にするエントリまたは属性を指定するときは「エントリ」タブを使用します。
「サブツリー」タブの要素の説明は、次のとおりです。
除外するエントリのサブツリー : 禁止されたサブツリーと同じ位置か、その下にあるエントリを要求する操作は、不正アクセスエラーで拒否されます。検索フィルタに適合しても、禁止されたサブツリー内のエントリは除外されます。ただし、このオプションによって、結果の一部として返されるエントリから、サブツリーの下にある値を含む DN 構文の属性が削除されることはありません。
追加 : 除外されるエントリのサブツリーのベースのリストに識別名を追加するためのダイアログボックスを表示します。デフォルトでは、ネットワークグループに識別名が存在しない場合は、ディレクトリ内のすべてのエントリにアクセスできます。リスト内のエントリには dn 構文があります。
編集 : 識別名を編集するためのダイアログボックスを表示します。
削除 : 識別名をリストから削除します。
- 「エントリ」タブを選択し、非表示にするエントリまたは属性を指定します。
「エントリ」タブの要素の説明は、次のとおりです。
現在このグループが使用中のエントリ非表示プロパティを指定します : 「禁止エントリプロパティオブジェクトの作成」に記載されているように、ドロップダウンリストに、禁止エントリプロパティの既存のオブジェクトが表示されます。オブジェクト名を選択します。デフォルトでは、オブジェクトは選択されていません (<なし>)。オブジェクトがない場合は、「新規」ボタンをクリックして、オブジェクトをその場で作成することができます。
新規 : 新しい禁止エントリプロパティを作成するためのダイアログを表示します。
編集 : 既存の禁止エントリプロパティを編集するためのダイアログを表示します。
- グループの検索属性を指定するときは、左のフレームで「検索」を選択し、右のフレームに適切な値を指定します。
「サイズ」タブの要素の説明は、次のとおりです。
結果エントリの最大数を制限 : 1 回の検索操作で一度にクライアントから返すことができる結果エントリの最大数を指定するときは、このオプションを有効にします。0 (ゼロ) よりも大きい任意の数値を指定できます。検索されたエントリの数が指定された値に達すると、administrativeLimitExceeded エラーがクライアントに通知され、以降のエントリは破棄されます。デフォルトでは、このプロパティは無効で、エントリは破棄されません。
追加 : 検索のサイズ制限プロパティを追加するためのダイアログを表示します。詳細は、「検索のサイズ制限プロパティオブジェクトの作成」を参照してください。
編集 : 検索のサイズ制限プロパティを編集するためのダイアログを表示します。
削除 : 検索のサイズ制限プロパティを削除するためのダイアログを表示します。(この処理では、確認メッセージを表示することなくグループからプロパティが削除されます。
- 「制御」タブを選択し、検索フィルタの制御条件を指定します。
「制御」タブの要素の説明は、次のとおりです。
不等フィルタを許可 : この設定は、デフォルトで有効です。このオプションは、クライアントが不等フィルタ (attr>=value) および (attr<=value) を含む検索を要求できるかどうかを指定します。ネットワークグループが不等値検索の実行を許可しない場合は、このオプションを無効にします。
検索時間を制限 : 検索操作の最大制限時間 (秒) を指定するには、このオプションを有効にし、ネットワークグループに対して値 (秒数) を入力します。クライアントがこのオプションで指定した値よりも大きい制限時間を指定した場合は、このネットワークグループに指定した値はクライアントの要求よりも優先されます。このオプションはデフォルトで無効になっているため、クライアントは任意の制限時間 (無制限を含む) を設定できます。
検索フィルタに必要な部分文字列の最小値を指定: 検索フィルタに指定するために必要な部分文字列の最小文字数を指定する場合は、このオプションを有効にして、値を入力します。この値には、1 よりも大きい数値を指定します。このオプションが無効になっている場合は、デフォルトで検索フィルタに任意の長さの部分文字列を指定できます。Web ロボットで実行できる検索の種類を制限する場合は、ネットワークグループ内でこのオプションを有効にする必要があります。たとえば、値に 2 を指定すると、(cn=A*) のような検索は行われません。
DN を持つサブツリーに制限 : このオプションを有効にして、すべての操作に対してサブツリーのベースを指定します。このオプションには、dn 構文を指定します。このオプションを無効にすると、最低ベースに対する制限がなくなります。
対象となるエントリが最低ベースのエントリと同じ位置か、それよりも下位にある操作は、このオプションの影響を受けません。対象となるエントリが最低ベースのエントリよりも上位にある操作がサブツリー検索である場合は、対象エントリを最低ベースに変更するために、サーバーに送信する前にクエリーが書き換えられます。対象となるエントリが最低ベースか、それよりも上位にある場合、要求は拒否され、オブジェクトエラーは発生しません。
たとえば、「DN を持つサブツリーに制限」を次のように設定します。
o=sun、st=California、c=US
st=California、c=US のサブツリー検索を受信すると、サーバーが次のサブツリー検索を実行するように検索が書き換えられます。
o=sun、st=California、c=US
参照 : 有効な DN の作成に役立つダイアログを表示します。
- 「範囲」タブを選択して、検索対象範囲 (クライアントが検索要求に指定できる範囲) を指定します。
「範囲」タブの要素の説明は、次のとおりです。
すべての検索範囲を許可 : デフォルトでは、このオプションは有効で、クライアントはすべての検索範囲を指定できます。
'ベース' の検索範囲のみを許可 : ベース検索のみを指定できるようにするには、このオプションを有効にします。
'ベース' および '1 レベル' の検索のみを許可 : ベース検索と 1 レベル検索のみを指定できるようにするには、このオプションを有効にします。
- 「参照」タブを選択し、検索時に検索の継続参照が生成された場合の処理を指定します。
「参照」タブの要素の説明は、次のとおりです。
参照を破棄 : デフォルトでは、このオプションは有効で、検索時に生成される参照は破棄されます。
クライアントに参照を転送 : 検索の継続参照を転送する場合にのみこのオプションを有効にします。
参照に続いてクライアントに結果を返す : 検索の継続参照を実行して、その結果を返す場合は、このオプションを有効にします。検索の継続リフェラルは特殊なリフェラルであり、照会した元のディレクトリサーバーによって照会の一部が満たされていますが、そのディレクトリサーバーにはその照会を満たす他のデータを持つ別のディレクトリサーバーへの参照があります。このオプションを使用すると、ネーミングコンテキストが別の LDAP サーバーによって使用されるディレクトリ情報ツリーの一部を非表示にすることができます。また、このオプションを有効にすると、クライアントはこのサーバーが動作しているネットワークアドレスやポートを確認できなくなります。
- グループの属性条件を指定するときは、左のフレームで「属性」を選択し、右のフレームに適切な値を指定します。
「検索」タブの要素の説明は、次のとおりです。
このタブは、ある特定の種類の検索操作や比較操作が LDAP サーバーに達しないようにするために使用します。クライアントの要求がこの制限に当てはまる場合、Directory Proxy Server は不正アクセスエラーをクライアントに返します。
すべての属性を許可 : このオプションはデフォルトで有効になっているため、検索フィルタや比較にすべての属性を使用できます。
次の属性を禁止 : 検索フィルタや比較要求にクライアントが使用できない属性の名前を指定するには、このオプションを有効にします。
次の属性のみを許可 : 検索フィルタや比較要求に使用できる属性の名前を指定するには、このオプションを有効にします。ネットワークグループのテーブル内に属性値が 1 つ以上ある場合、比較要求がこれらのどの属性値とも適合しなければ、Directory Proxy Server によって要求が拒否されます。ネットワークグループのテーブル内に属性値が 1 つもない場合、属性がどの属性とも一致しなければ、クライアントはその属性を使用することができます。たとえば、cn、dn、mail の各属性だけをクライアントで検索できるようにする場合は、これらの属性をテーブルに追加します。
追加 : 属性をテーブルに追加できるダイアログボックスを表示します。これらの属性を使用不可にするか、使用可能にするかを指定する必要があります。
編集 : 選択されているテーブル内の属性を編集するためのダイアログボックスを表示します。
削除 : 属性をテーブルから削除します。
- 「名前変更」タブを選択し、属性名の変更規則を指定します。
「名前変更」タブの要素の説明は、次のとおりです。
追加 : 1 つ以上の既存の属性の名前変更プロパティを、このネットワークグループで使用される次のテーブルに追加するためのダイアログボックスを表示します。「属性名変更プロパティオブジェクトの作成」を参照してください。
編集 : 選択された属性の名前変更プロパティを編集するためのダイアログボックスを表示します。
削除 : 属性の名前変更プロパティをテーブルから削除します。
- 「返す値」タブを選択し、サーバーが返す検索結果がクライアントに転送される前に、それに適用する制限を指定します。
「返す値」タブの要素の説明は、次のとおりです。
すべての属性を返す : デフォルトではこのオプションが有効で、すべての属性が返されます。
次の属性を除外 : 検索結果のエントリから除外する属性の名前を指定する場合は、このオプションを有効にします。
次の属性のみを返す : 検索結果から返すことができる属性 (存在する場合) の名前を指定する場合は、このオプションを有効にします。
検索結果の一部として返される属性が「次の属性のみを返す」テーブルに指定されていない場合、これらの属性は返されません。テーブルが空で、「次の属性を除外」テーブルに指定されていない場合は、これらの属性は返されます。
追加 : 属性をテーブルに追加できるダイアログボックスを表示します。これらの属性を使用不可にするか、使用可能にするかを上のオプションで指定する必要があります。
編集 : 選択されているテーブル内の属性を編集するためのダイアログボックスを表示します。
削除 : 属性をテーブルから削除します。
- たとえば、サーバーから返されるリフェラルをグループが転送、実行、または破棄する、など、グループのリフェラルを指定するときは、左のフレームで「リフェラル」を選択し、右のフレームに適切な値を指定します。
画面要素の説明は、次のとおりです。
リフェラルを破棄 : ネットワークグループがサーバーによって返されたすべてのリフェラルを破棄する場合は、このオプションを有効にします。
クライアントへリフェラルを転送 : デフォルトではこのオプションが有効で、サーバーによって返されたリフェラルを転送します。
リフェラルを転送し、結果をクライアントに返す : ネットワークグループがサーバーによって返されたリフェラルを実行し、結果をクライアントに返す場合は、このオプションを有効にします。
バインドポリシー : このオプションは、リフェラルが実行されるときのバインドポリシーを制御します。
Directory Proxy Server は、SASL メカニズムを使ってバインドされたクライアントに対してバインドを再実行できないので注意してください。このため、「パスワードベースのバインドを要求」が指定され、クライアントが SASL メカニズムでバインドされている場合、リフェラル操作は拒否されます。
常に匿名でバインド : ネットワークグループに接続しているクライアントのリフェラルを実行するときに、Directory Proxy Server が常に匿名でバインドするように指定するときは、このオプションを選択します。
利用可能な場合は、パスワードベースのバインドを使用 : クライアントがパスワードベースのバインドを使用している場合、ネットワークグループが単純なバインドを使用する必要があるときは、このオプションを選択します。このオプションを選択しない場合は、匿名でバインドします。このオプションはデフォルトで選択されています。
パスワードベースのバインドを要求 : クライアントがパスワードベースのバインドを使用しない場合に、ネットワークグループが参照された操作を拒否する必要があるときは、このオプションを選択します。
操作ごとの最大リフェラルを指定 : 0 (ゼロ) 以上の整数値を入力します。この値により、1 つの操作に対して実行される参照の最大数が制限されます。デフォルトは 15 です。0 (ゼロ) を指定すると、無制限になります。
リフェラル SSL ポリシー : このパネルを有効にするためには、「暗号化」ビューで SSL オプションが有効になっている必要があります。
クライアントが実行していない場合は SSL を確立 : クライアントが Directory Proxy Server との SSL セッションをすでに確立していてネットワークグループが SSL を開始するだけの場合に、このオプションを有効にします。このオプションはデフォルトで選択されています。
すべてのリフェラルに SSL セッションを確立 : リフェラルに対して、操作が転送される前にグループが SSL セッションを開始する場合は、このオプションを有効にします。
- グループのサーバーロード条件を指定するときは、左のフレームで「サーバーのロード」を選択し、右のフレームに適切な値を指定します。
画面要素の説明は、次のとおりです。
接続ごとの同時操作 : そのグループの 1 つの接続で Directory Proxy Server が同時に処理できる操作の数を制限する場合は、このオプションを選択します。この値には、0 (ゼロ) よりも大きい整数を指定します。この属性を指定しない場合、操作の数は無制限になります。たとえば、この値を 1 に設定すると、そのグループに含まれるすべてのクライアントは、同時に発生した LDAP 操作を強制的に実行します。同時に発生したその他の要求は、操作を中断させる要求を除き、サーバー使用中のエラーにより失敗します。
接続ごとの合計操作 : そのグループの 1 つの接続で Directory Proxy Server が処理できる操作の合計数を制限する場合は、このオプションを選択します。この値には、0 (ゼロ) よりも大きい整数を指定します。クライアントが 1 つの接続に対してグループに許可されている最大操作数を超えた場合は、Directory Proxy Server によってその接続は閉じられます。この属性を指定しない場合、操作の数は無制限になります。
このグループへの同時接続 : このネットワークグループへの同時接続の数を制限し、その値を指定するときは、このオプションを選択します。
IP アドレスごとの同時接続 : クライアントが 1 つの IP アドレスから確立できる同時接続の数を制限する場合は、このオプションを選択します。デフォルトでは、任意の数の接続を確立できます。
- 「保存」をクリックして、グループを作成します。
Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。
- 「ネットワークグループ」ウィンドウにアクセスし (手順 2 を参照)、グループに適切な優先度を設定します。
- 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。
グループの変更グループを変更するには
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
- ナビゲーションツリーで、ネットワークグループを選択します。
右側のペインには既存のグループがリスト表示されます。
- 変更するグループをリストから選択し、「編集」をクリックします。
- 必要な修正を加えます。
- 「保存」をクリックして、変更内容を保存します。
Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。
- 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。
グループの削除不要なネットワークグループは、Directory Proxy Server の設定から削除できます。
グループを削除するには
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
- ナビゲーションツリーで、ネットワークグループを選択します。
右側のペインには既存のグループがリスト表示されます。
- 削除するグループをリストから選択し、「削除」をクリックします。
- 処理を承認します。
削除したグループの名前は、リストに表示されなくなります。Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。
- 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。