アクセス制御ファイルによるポリシー管理
アクセス制御ファイルを編集することで、次のエンドユーザー権限を制御できます。
-
ほかのエンドユーザーの Presence ステータスにアクセスする権限
-
ほかのエンドユーザーにアラートを送信する権限
-
プロパティーをサーバー上に保存する権限
-
新しい会議室を作成する権限
-
新しいニュースチャネルを作成する権限
デフォルトでは、ほかのエンドユーザーの Presence ステータスにアクセスする権限、エンドユーザーにアラートを送信する権限、およびプロパティーをサーバー上に保存する権限が、エンドユーザーに与えられます。ほとんどの配備では、このデフォルト値を変更する必要はありません。
管理者は、特定の権限をグローバルに設定できますが、それらの権限に対する例外を定義することも可能です。たとえば、管理者は、選択されたエンドユーザーまたはグループに対して、特定のデフォルト権限を拒否することができます。
また、配備内でアクセス制御ファイルを使用してポリシーを適用している場合、これらのファイルはサーバープール内のすべてのサーバーで同じである必要があります。
表 17–2 は、Instant Messaging のグローバルアクセス制御ファイルとそれらのファイルがエンドユーザーに付与する権限の一覧です。
表 17–2 アクセス制御ファイル|
アクセス制御ファイル |
権限 |
|---|---|
|
sysSaveUserSettings.acl |
自身の設定を変更できる (できない) ユーザーを定義します。この権限を持たないユーザーは、連絡先の追加や会議室の作成などを行うことができません。 |
|
sysTopicsAdd.acl |
ニュースチャネルを作成できる (できない) ユーザーを定義します。 |
|
sysRoomsAdd.acl |
会議室を作成できる (できない) ユーザーを定義します。 |
|
sysSendAlerts.acl |
アラートを送信できる (できない) ユーザーを定義します。sysSendAlerts を無効にすると調査も無効になります。 |
|
sysWatch.acl |
ほかのエンドユーザーの変更を監視できる (できない) ユーザーを定義します。この権限を持たないエンドユーザーの Instant Messenger のウィンドウには、会議室とニュースチャネルへの登録と登録解除を行うためのメニューだけが表示されます。 |
|
sysAdmin.acl |
管理者専用に予約されています。このファイルでは、すべてのエンドユーザーを対象に、すべての Instant Messaging 機能に対する管理特権を設定します。この権限はほかのすべての権限よりも優先されます。また、会議室とニュースチャネルを作成および管理できる権限に加えて、エンドユーザーの Presence 情報、設定、およびプロパティーにアクセスできる権限を管理者に与えます。 |
アクセス制御ファイルでエンドユーザーの権限を変更する
-
im-cfg-base/acls ディレクトリに移動します。
im-cfg-base の場所については、「Instant Messaging サーバーのディレクトリ構造」を参照してください。
-
目的のアクセス制御ファイルを編集します。
たとえば、次のようになります。
vi sysTopicsAdd.acl
アクセス制御ファイルの一覧については、表 17–2 を参照してください。
-
変更を保存します。
-
変更を反映するには、エンドユーザーが Instant Messenger のウィンドウを更新する必要があります。
サーバープールでのアクセス制御ファイルの使用
配備内でアクセス制御ファイルを使用してポリシーを適用している場合、ファイルの内容がサーバープール内のすべてのサーバーで同じである必要があります。このためには、1 台のサーバーから、プール内のその他のノードのそれぞれにファイルをコピーするようにします。これらのファイルの場所については、「アクセス制御ファイルの場所」を参照してください。
アクセス制御ファイルの場所
アクセス制御ファイルの格納場所は、im-cfg-base/acls です。im-cfg-base は設定ディレクトリです。設定ディレクトリのデフォルトの場所については、「Instant Messaging サーバーのディレクトリ構造」を参照してください。
アクセス制御ファイルの形式
アクセス制御ファイルには、権限を定義する一連のエントリが含まれます。各エントリは、次のいずれかのタグで始まります。
-
d: - デフォルト
-
u: - ユーザー
-
g: - グループ
タグのあとにはコロン (:) を付けます。デフォルトタグでは、そのあとに true、false のいずれかを指定します。
エンドユーザータグ、グループタグでは、そのあとにエンドユーザー名、グループ名をそれぞれ指定します。
複数のエンドユーザーまたはグループを指定するには、それらの各エンドユーザー (u)、各グループ (g) をそれぞれ別々の行に記述します。
d: タグで始まるエントリは、アクセス制御ファイルの最後のエントリでなければなりません。d: タグで始まるエントリのあとに存在するエントリは、すべてサーバーによって無視されます。d: タグが true の場合、ファイル内のほかのすべてのエントリは冗長であり無視されます。アクセス制御ファイル内で d: タグを true に設定した場合、特定のエンドユーザーがその権限を持つことを選択的に拒否することはできません。デフォルトエントリに false が設定された場合、ファイル内に指定されたエンドユーザーとグループのみが、その特定の権限を持つことになります。
新規インストール時の、ACL ファイル内の d: タグ (デフォルトタグ) エントリを、次に示します。
-
sysAdmin.acl - d:false が含まれる
-
sysTopicsAdd.acl - d:true が含まれる
-
sysRoomsAdd.acl - d:true が含まれる
-
sysSaveUserSettings.acl - d:true が含まれる
-
sysSendAlerts.acl - d:true が含まれる
-
sysWatch.acl - d:true が含まれる
注意 – すべてのアクセス制御ファイルの形式、さらにはその存在自体が、今後の製品リリースで変更される可能性があります。
注 –
sysSendAlerts を無効にすると調査も無効になります。
例 17–1 sysTopicsAdd.acl ファイル
次の例では、sysTopicsAdd.acl ファイルの d: タグエントリは false です。したがって、ニュースチャネルを追加および削除する権限は、d: エントリよりも前に記述されたエンドユーザーとグループ、すなわち、user1、user2、および sales グループに対して付与されます。
# Example sysTopicsAdd.acl file u:user1 u:user2 g:cn=sales,ou=groups,o=siroe d:False |
- © 2010, Oracle Corporation and/or its affiliates