仮想データビューの ACI は、LDAP ディレクトリまたは LDIF ファイルに保存できます。仮想 ACI の機能方法については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Access Control On Virtual Data Views」を参照してください。
Directory Proxy Server インスタンスを作成すると、仮想アクセス制御の次のデフォルト設定が定義されます。
ACI がデフォルトで保存される LDIF ファイル ( instance-path/config/access_controls.ldif)
virtual access controls という名前の LDIF データビュー
このデータビューは、Directory Proxy Server が LDIF ファイルに保存された ACI にアクセスできるようにします。
前述のデフォルト ACI 設定を使用しない場合は、別のストレージリポジトリを定義できます。
DSCC を使用してこのタスクを実行することはできません。次の手順に示すように、コマンド行を使用します。
仮想 ACI が保存されるリポジトリのデータビューを作成します。
ACI が LDAP ディレクトリに保存される場合は、第 19 章「LDAP データビュー」の説明に従って、LDAP データソースと LDAP データビューを作成します。
ACI が LDIF ファイルに保存される場合は、「LDIF データビューの作成と設定」の説明に従って、LDIF データビューを作成します。
前の手順で作成したデータビューに ACI データビューとして名前を指定します。
$ dpconf set-virtual-aci-prop -h host -p port aci-data-view:data-view-name
ACI リポジトリが LDAP ディレクトリの場合は、ACI データビューへのアクセスに必要な資格を指定します。
$ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-dn:bind-dn $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-pwd-file:filename
使用する ACI リポジトリに関係なく、仮想アクセス制御を設定する必要があります。
ACI のプールを作成し、ACI データビューによって直接 ACI を管理できるのはプロキシマネージャーだけです。ACI リポジトリが LDAP ディレクトリの場合、aciSource オブジェクトクラスと dpsaci 属性が含まれるようにそのディレクトリのスキーマを変更します。スキーマのカスタマイズの詳細については、「Directory Server スキーマの拡張」を参照してください。
DSCC を使用してこのタスクを実行することはできません。次の手順に示すように、コマンド行を使用します。
ACI リポジトリに ACI のプールを作成し、グローバル ACI を設定します。
グローバル ACI の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Global ACIs」を参照してください。グローバル ACI を設定するには、ACI データビューのビューベースの下に aciSource エントリを追加します。次に例を示します。
% ldapmodify -p port -D "cn=proxy manager" -w - dn: cn=aci-source-name,cn=virtual access controls changetype: add objectclass: aciSource dpsaci: (targetattr="*") (target="ldap:///ou=people,o=virtual") (version 3.0; acl "perm1"; allow(all) groupdn="ldap:///cn=virtualGroup1,o=groups,o=virtual";) cn: data-source-name |
この ACI のプールを使用するよう 1 つまたは複数の接続ハンドラを設定します。
% dpconf set-connection-handler-prop -h host -p port connection-handler \ aci-source:aci-source-name |
必要な ACI をデータに追加します。
これを行うには、ACI を含む仮想エントリを作成します。次に例を示します。
% ldapmodify -p port -D "cn=virtual application,ou=application users,dc=com" -w - dn: ou=people,o=virtual changetype: modify add: dpsaci dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(all) userdn="ldap:///self";) dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(search, read, compare) userdn ="ldap:///anyone";) |
適切なアクセス権限をもつユーザーなら誰でも、データビューを使用して仮想 ACI を追加、取得できます。