동적 그룹에는 groupOfURLs의 objectclass가 있으며 0개 이상의 memberURL 속성이 있습니다. 각 속성은 일련의 객체를 기술하는 LDAP URL입니다.
LDAP 서비스의 경우, Web Server에서 임의의 속성을 기반으로 사용자를 자동으로 그룹화하려는 경우 또는 일치하는 DN이 포함된 특정 그룹에 ACL을 적용하려는 경우 동적 그룸을 만들 수 있습니다. 예를 들어 department=marketing 속성이 있는 DN이 자동으로 포함되도록 그룹을 만들 수 있습니다. department=marketing 검색 필터를 적용하면 department=marketing 속성이 있는 모든 DN을 포함하는 그룹이 반환됩니다. 그러면 이 필터에 기반한 검색 결과에서 동적 그룹을 정의할 수 있습니다. 따라서 결과의 동적 그룹에 대한 ACL을 정의할 수 있습니다.
Web Server는 LDAP 서버 스키마의 동적 그룹을 objectclass = groupOfURLs로 구현합니다. groupOfURLS 클래스에는 여러 memberURL 속성이 있을 수 있으며 각 속성은 디렉토리에 있는 객체 세트를 열거하는 LDAP URL로 구성됩니다. 그룹의 구성원은 이러한 세트의 조합이 됩니다. 예를 들어 다음 그룹은 하나의 구성원 URL만 포함합니다.
ldap:///o=mcom.com??sub?(department=marketing)
이 예에서는 "o=mcom.com " 아래에 부서가 "marketing"인 모든 객체로 구성된 집합을 설명합니다. LDAP URL에는 검색 기준 DN, 범위 및 필터는 포함할 수 있지만 호스트 이름과 포트는 포함할 수 없습니다. 따라서 동일한 LDAP 서버에 있는 객체만 참조할 수 있습니다. 범위는 모두 지원됩니다.
DN은 자동으로 포함되므로 직접 개인을 그룹에 추가할 필요가 없습니다. ACL 확인을 위해 그룹 조회가 필요할 때마다 Web Server에서 LDAP 서버 검색을 수행하므로 그룹은 동적으로 변경됩니다. ACL 파일에서 사용된 사용자 및 그룹 이름은 LDAP 데이터베이스에 있는 객체의 cn 속성에 대응됩니다.
Web Server는 ACL용 그룹 이름으로 cn(commonName) 속성을 사용합니다.
ACL에서 LDAP 데이터베이스로의 매핑은 dbswitch.conf 구성 파일(ACL 데이터베이스 이름을 실제 LDAP 데이터베이스 URL과 연결) 및 ACL 파일(ACL용으로 사용할 데이터베이스 정의) 모두에 정의됩니다. 예를 들어 "staff"라는 그룹의 구성원에게 기본 액세스 권한을 부여하려는 경우 ACL 코드는 객체 클래스가 groupOf<anything>이고 CN이 "staff"로 설정된 객체를 조회합니다. 객체는 구성원 DN을 명시적으로 열거하거나(정적 그룹의 groupOfUniqueNames와 동일) LDAP URL을 지정(예: groupOfURLs)하여 그룹의 구성원을 정의합니다.
그룹 객체에는 objectclass = groupOfUniqueMembers 및 objectclass = groupOfURL이 모두 있을 수 있으며, 따라서 "uniqueMember" 및 "memberURL" 속성이 모두 유효합니다. 그룹의 구성원은 정적 및 동적 구성원의 조합입니다.
동적 그룹을 사용하는 경우 서버 성능에 영향을 미칠 수 있습니다. 그룹 구성원을 테스트해서 DN이 정적 그룹의 구성원이 아닌 경우 Web Server는 데이터베이스의 baseDN에 있는 모든 동적 그룹을 확인합니다. Web Server는 이러한 작업을 위해 해당 baseDN과 사용자의 DN에 대한 범위를 확인하여 각 memberURL이 일치하는지 확인한 다음 사용자 DN을 baseDN으로 사용하고 memberURL의 필터를 사용하여 기본 검색을 수행합니다. 이 절차로 인하여 많은 수의 개별 검색이 누적될 수 있습니다.
Administration Server를 사용하여 새 동적 그룹을 만드는 경우에는 다음 지침을 고려하십시오.
동적 그룹에는 다른 그룹이 포함될 수 없습니다.
다음 형식으로 그룹의 LDAP URL을 입력합니다(호스트 및 포트 매개 변수는 무시되므로 생략).
ldap:///<basedn>?<attributes>?<scope>?<(filter)>
필요한 매개 변수는 다음 표에 설명한 것과 같습니다.
<attributes>, <scope> 및 <(filter)> 매개 변수는 URL에서의 위치에 따라 구분됩니다. 속성을 지정하지 않으려는 경우에도 해당 필드에 물음표를 넣어 구분해야 합니다.
또한 선택적으로 새 그룹에 대한 설명을 추가할 수 있습니다.
디렉토리에 조직 단위가 정의된 경우 새 그룹을 추가할 위치 목록을 사용하여 새 그룹을 배치할 위치를 지정할 수 있습니다. 기본 위치는 디렉토리의 루트 지점 또는 최상위 항목입니다.