第 35 章
ポリシー設定サービス属性

ポリシー設定サービス属性には、グローバル属性と組織属性とがあります。グローバル属性に適用される値は Sun ONE Identity Server 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Identity Server アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。サービス管理の下で組織属性に適用される値が、ポリシー設定のデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。ポリシー設定属性は次のように分けられます。

グローバル属性
組織属性

---

グローバル属性

ポリシー設定サービスのグローバル属性には、次のものがあります。

リソースコンパレータ

リソースコンパレータ

この属性はリソースコンパレータ情報を指定します。リソースコンパレータは、「ポリシー」ルール定義で指定されたリソースの比較に使用されます。リソースの比較は、ポリシーの作成と評価の両方に使用します。この属性には次の値があります。

serviceType	コンパレータを使用するサービスを指定します。
class	リソース比較アルゴリズムを実装する Java クラスを定義します。
wildcard	リソース名に使用可能なワイルドカードを指定します。
delimiter	リソース名に使用する区切り記号を指定します。
caseSensitivity	リソースを比較する際に、大文字と小文字を区別するかどうかを指定します。False の場合は区別せず、True の場合は区別します。

---

組織属性

ポリシー設定サービスの組織属性は次のとおりです。

LDAP サーバーとポート
LDAP ベース DN
LDAP ユーザーベース DN
Identity Server ロールベース DN
LDAP バインド DN
LDAP バインドパスワード
LDAP バインドパスワード (確認)
LDAP 組織検索フィルタ
LDAP 組織検索範囲
LDAP グループ検索フィルタ
LDAP グループ検索範囲
LDAP ユーザー検索フィルタ
LDAP ユーザー検索範囲
LDAP ロール検索フィルタ
LDAP ロール検索範囲
Identity Server ロール検索範囲
LDAP 組織検索属性
LDAP グループ検索属性
LDAP ユーザー検索属性
LDAP ロール検索属性
検索で返される結果の最大数
検索のタイムアウト (秒)
LDAP SSL を有効
LDAP 接続プールの最小サイズ
LDAP 接続プールの最大サイズ
選択したポリシーサブジェクト
選択したポリシー条件
選択したポリシー参照
サブジェクト結果の有効時間
ユーザーエイリアスを有効

LDAP サーバーとポート

このフィールドは、Identity Server インストール時に指定されるプライマリ LDAP サーバーのホスト名とポート番号を指定します。このホスト名とポート番号は、LDAP ユーザー、LDAP ロール、LDAP グループなどのポリシーサブジェクトを検索する際に使用します。形式は hostname:port です。次に例を示します。

machine1.example.com:389

複数の LDAP サーバーホストに対するフェイルオーバー設定の場合は、この値にスペース区切りのリストで複数のホストを指定できます。形式は hostname1:port1 hostname2:port2... です。

次に例を示します。

machine1.example1.com:389 machine2.example1.com:389

複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。これにより、特定の Identity Server が特定の Directory Server と通信するように設定できます。

形式は servername|hostname:port です。

次に例を示します。

machine1.example1.com|machine1.example1.com:389

machine1.example2.com|machine1.example2.com:389

フェイルオーバー設定の場合は次のようになります。

machine1.example1.com|machine1.example1.com:389 machine2.example.com1:389

machine1.example2.com|machine1.example2.com:389 machine2.example2.com:389

注	この属性は、複数のサーバーをサポートする値のリストを使用できるように変更されました。6.0 SP1 リリースでは、単一の値しか使用できませんでした。 この変更により、6.0 SP1 および 6.1 を単一の配備環境に共存させようとすると、Identity Server 6.0 SP1 インスタンスが 6.1 の DIT を指している場合は特に、問題が起こるおそれがあります。 共存できるようにするには、この属性に単一 LDAP サーバーだけを指定するようにしてください。

LDAP ベース DN

このフィールドは、検索を開始する LDAP サーバー内のベース DN を指定します。デフォルトでは、Identity Server インストールの最上位組織です。

LDAP ユーザーベース DN

この属性は、検索を開始する LDAP サーバー内の LDAP ユーザーサブジェクトで使用するベース DN を指定します。デフォルトでは、Identity Server インストールベースの最上位組織です。

Identity Server ロールベース DN

この属性は、検索を開始する LDAP サーバー内の Identity Server ロールサブジェクトで使用するベース DN を指定します。デフォルトでは、Identity Server インストールベースの最上位組織です。

LDAP バインド DN

このフィールドは、LDAP サーバー内のバインド DN を指定します。

LDAP バインドパスワード

この属性は、LDAP サーバーへのバインドに使用するパスワードを定義します。デフォルトで、インストール中に入力した amldapuser パスワードが、バインドユーザーとして使用されます。

LDAP バインドパスワード (確認)

LDAP バインドパスワードの確認。

LDAP 組織検索フィルタ

組織エントリの検索に使用する検索フィルタを指定します。デフォルトは (objectclass=sunMangagedOrganization) です。

LDAP 組織検索範囲

この属性は、組織エントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (デフォルト)

LDAP グループ検索フィルタ

グループエントリの検索に使用する検索フィルタを指定します。デフォルトは、(objectclass=groupOfUniqueNames) です。

LDAP グループ検索範囲

この属性は、グループエントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (デフォルト)

LDAP ユーザー検索フィルタ

ユーザーエントリの検索に使用する検索フィルタを指定します。デフォルトは、(objectclass=inetorgperson) です。

LDAP ユーザー検索範囲

この属性は、ユーザーエントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (デフォルト)

LDAP ロール検索フィルタ

ロールのエントリ検索に使用する検索フィルタを指定します。デフォルトは、(&(objectclass=ldapsubentry)(objectclass=nsroledefinitions)) です。

LDAP ロール検索範囲

この属性は、ロールのエントリ検索範囲を定義します。範囲は次のいずれかにする必要があります。

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (デフォルト)

Identity Server ロール検索範囲

この属性は、Identity Server ロールサブジェクトのエントリ検索範囲を定義します。範囲は次のいずれかにする必要があります。

SCOPE_BASE
SCOPE_ONE
SCOPE_SUB (デフォルト)

LDAP 組織検索属性

このフィールドは、組織に対して検索を行うための属性タイプを定義します。デフォルトは o です。

LDAP グループ検索属性

このフィールドは、グループに対して検索を行うための属性タイプを定義します。デフォルトは cn です。

LDAP ユーザー検索属性

このフィールドは、ユーザーに対して検索を行うための属性タイプを定義します。デフォルトは uid です。

LDAP ロール検索属性

このフィールドは、ロールに対して検索を行うための属性タイプを定義します。デフォルトは cn です。

検索で返される結果の最大数

このフィールドは検索で返される結果の最大数を定義します。デフォルト値は 100 です。指定された最大数を検索結果が上回った場合、その時点までに検索されたエントリが返されます。

検索のタイムアウト (秒)

この属性は、検索のタイムアウトが発生するまでの時間を指定します。指定した時間を過ぎた場合は、その時点までに検索されたエントリが返されます。

LDAP SSL を有効

この属性は、LDAP サーバーが SSL を実行するかどうかを指定します。選択した場合、SSL は有効になり、選択しない場合 (デフォルト)、SSL は無効になります。

LDAP 接続プールの最小サイズ

この属性は、LDAP サーバー属性に指定されたとおり、Directory Server への接続に使用する接続プールの最小サイズを指定します。デフォルトは 1 です。

LDAP 接続プールの最大サイズ

この属性は、LDAP サーバー属性に指定されたとおり、Directory Server への接続に使用する接続プールの最大サイズを指定します。デフォルトは 10 です。

選択したポリシーサブジェクト

この属性を使用すると、組織内のポリシー定義に使用できるサブジェクトタイプのセットを選択できます。

選択したポリシー条件

この属性を使用すると、組織内のポリシー定義に使用できる条件タイプのセットを選択できます。

選択したポリシー参照

この属性を使用すると、組織内のポリシー定義に使用できる参照タイプのセットを選択できます。

サブジェクト結果の有効時間

この属性は、キャッシュされたサブジェクト結果を使用して、シングルサインオントークンに基づく同じポリシー要求を評価できる時間 (分単位) を指定します。

ポリシーが SSO トークンに対して最初に評価される場合に、そのポリシー内のサブジェクトインスタンスが評価され、ポリシーを特定のユーザーに適用できるかどうかが判別されます。サブジェクト結果は SSO トークン ID に合わされ、ポリシーにキャッシュされます。「サブジェクト結果の有効時間」属性で指定された時間内に、同一の SSO トークン ID に対する同一のポリシーで別の評価が発生した場合、ポリシーフレームワークはキャッシュされたサブジェクト結果を検索します。サブジェクトインスタンスは評価しません。これにより、ポリシー評価の時間が大幅に短縮されます。

ユーザーエイリアスを有効

リモート Directory Server でリソースのサブジェクトのメンバーがローカルユーザーをエイリアス化するとき、そのリソースを保護するためのポリシーを作成する場合は、この属性を有効にする必要があります。

リモート Directory Server で uid=rmuser を作成し、Identity Server で rmuser をエイリアスとしてローカルユーザーに追加する (uid=luser など) ような場合、この属性は有効でなければなりません。rmuser としてログインすると、ローカルユーザー (luser) でセッションが作成され、ポリシーの適用が成功します。

前へ      目次      索引      次へ

---

Copyright 2003 Sun Microsystems, Inc. All rights reserved.