Sun Java System Identity Server 2004Q2 管理ガイド |
第 37 章
ポリシー設定サービス属性ポリシー設定サービス属性には、グローバル属性と組織属性とがあります。グローバル属性に適用される値は Sun Java System Identity Server 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Identity Server アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。サービス管理の下で組織属性に適用される値が、ポリシー設定のデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。ポリシー設定属性は次のように分けられます。
グローバル属性ポリシー設定サービスのグローバル属性には、次のものがあります。
リソースコンパレータ
この属性はリソースコンパレータ情報を指定します。リソースコンパレータは、「ポリシー」ルール定義で指定されたリソースの比較に使用されます。リソースの比較は、ポリシーの作成と評価の両方に使用します。この属性には次の値があります。
拒否決定で評価を続行
この属性は、拒否ポリシー決定が存在する場合でも、ポリシーフレームワークが後続のポリシーの評価を続けるかどうかを指定します。選択しない場合 (デフォルト)、ポリシーの評価は、拒否決定を認識すると、後続のポリシーの評価をやめます。
組織属性ポリシー設定サービスの組織属性は次のとおりです。
プライマリ LDAP サーバー
このフィールドは、Identity Server インストール時に指定されるプライマリ LDAP サーバーのホスト名とポート番号を指定します。このホスト名とポート番号は、LDAP ユーザー、LDAP ロール、LDAP グループなどのポリシーサブジェクトを検索する際に使用します。形式は hostname:port です。次に例を示します。
machine1.example.com:389
複数の LDAP サーバーホストに対するフェイルオーバー設定の場合は、この値にスペース区切りのリストで複数のホストを指定できます。形式は hostname1:port1 hostname2:port2... です。
次に例を示します。
machine1.example1.com:389 machine2.example1.com:389
複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。これにより、特定の Identity Server が特定の Directory Server と通信するように設定できます。
形式は servername|hostname:port です。
次に例を示します。
machine1.example1.com|machine1.example1.com:389
machine1.example2.com|machine1.example2.com:389
フェイルオーバー設定の場合は次のようになります。
IS_Server1.example1.com|machine1.example1.com:389 machine2.example.com1:389
IS_Server2.example2.com|machine1.example2.com:389 machine2.example2.com:389
LDAP ベース DN
このフィールドは、検索を開始する LDAP サーバー内のベース DN を指定します。デフォルトでは、Identity Server インストールの最上位組織です。
LDAP ユーザーベース DN
この属性は、検索を開始する LDAP サーバー内の LDAP ユーザーサブジェクトで使用するベース DN を指定します。デフォルトでは、Identity Server インストールベースの最上位組織です。
Identity Server ロールベース DN
この属性は、検索を開始する LDAP サーバー内の Identity Server ロールサブジェクトで使用するベース DN を指定します。デフォルトでは、Identity Server インストールベースの最上位組織です。
LDAP バインド DN
このフィールドは、LDAP サーバー内のバインド DN を指定します。
LDAP バインドパスワード
この属性は、LDAP サーバーへのバインドに使用するパスワードを定義します。デフォルトで、インストール中に入力した amldapuser パスワードが、バインドユーザーとして使用されます。
LDAP バインドパスワード (確認)
LDAP バインドパスワードの確認。
LDAP 組織検索フィルタ
組織エントリの検索に使用する検索フィルタを指定します。デフォルトは (objectclass=sunMangagedOrganization) です。
LDAP 組織検索範囲
この属性は、組織エントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。
LDAP グループ検索フィルタ
グループエントリの検索に使用する検索フィルタを指定します。デフォルトは、(objectclass=groupOfUniqueNames) です。
LDAP グループ検索範囲
この属性は、グループエントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。
LDAP ユーザー検索フィルタ
ユーザーエントリの検索に使用する検索フィルタを指定します。デフォルトは、(objectclass=inetorgperson) です。
LDAP ユーザー検索範囲
この属性は、ユーザーエントリの検索範囲を定義します。範囲は次のいずれかにする必要があります。
LDAP ロール検索フィルタ
ロールのエントリ検索に使用する検索フィルタを指定します。デフォルトは、(&(objectclass=ldapsubentry)(objectclass=nsroledefinitions)) です。
LDAP ロール検索範囲
この属性は、ロールのエントリ検索範囲を定義します。範囲は次のいずれかにする必要があります。
Identity Server ロール検索範囲
この属性は、Identity Server ロールサブジェクトのエントリ検索範囲を定義します。範囲は次のいずれかにする必要があります。
LDAP 組織検索属性
このフィールドは、組織に対して検索を行うための属性タイプを定義します。デフォルトは o です。
LDAP グループ検索属性
このフィールドは、グループに対して検索を行うための属性タイプを定義します。デフォルトは cn です。
LDAP ユーザー検索属性
このフィールドは、ユーザーに対して検索を行うための属性タイプを定義します。デフォルトは uid です。
LDAP ロール検索属性
このフィールドは、ロールに対して検索を行うための属性タイプを定義します。デフォルトは cn です。
検索で返される結果の最大数
このフィールドは検索で返される結果の最大数を定義します。デフォルト値は 100 です。指定された最大数を検索結果が上回った場合、その時点までに検索されたエントリが返されます。
検索タイムアウト
この属性は、検索タイムアウトが発生するまでの時間を指定します。指定した時間を過ぎた場合は、その時点までに検索されたエントリが返されます。
LDAP SSL を有効
この属性は、LDAP サーバーが SSL を実行するかどうかを指定します。選択した場合、SSL は有効になり、選択しない場合 (デフォルト)、SSL は無効になります。
LDAP 接続プールの最小サイズ
この属性は、LDAP サーバー属性に指定されたとおり、Directory Server への接続に使用する接続プールの最小サイズを指定します。デフォルトは 1 です。
LDAP 接続プールの最大サイズ
この属性は、LDAP サーバー属性に指定されたとおり、Directory Server への接続に使用する接続プールの最大サイズを指定します。デフォルトは 10 です。
選択したポリシーサブジェクト
この属性を使用すると、組織内のポリシー定義に使用できるサブジェクトタイプのセットを選択できます。
選択したポリシー条件
この属性を使用すると、組織内のポリシー定義に使用できる条件タイプのセットを選択できます。
選択したポリシー参照
この属性を使用すると、組織内のポリシー定義に使用できる参照タイプのセットを選択できます。
サブジェクト結果の有効時間
この属性は、キャッシュされたサブジェクト結果を使用して、シングルサインオントークンに基づく同じポリシー要求を評価できる時間 (分単位) を指定します。
ポリシーが SSO トークンに対して最初に評価される場合に、そのポリシー内のサブジェクトインスタンスが評価され、ポリシーを特定のユーザーに適用できるかどうかが判別されます。サブジェクト結果は SSO トークン ID に合わされ、ポリシーにキャッシュされます。「サブジェクト結果の有効時間」属性で指定された時間内に、同一の SSO トークン ID に対する同一のポリシーで別の評価が発生した場合、ポリシーフレームワークはキャッシュされたサブジェクト結果を検索します。サブジェクトインスタンスは評価しません。これにより、ポリシー評価の時間が大幅に短縮されます。
ユーザーエイリアスを有効
リモート Directory Server でリソースのサブジェクトのメンバーがローカルユーザーをエイリアス化するとき、そのリソースを保護するためのポリシーを作成する場合は、この属性を有効にする必要があります。
リモート Directory Server で uid=rmuser を作成し、Identity Server で rmuser をエイリアスとしてローカルユーザーに追加する (uid=luser など) ような場合、この属性は有効でなければなりません。rmuser としてログインすると、ローカルユーザー (luser) でセッションが作成され、ポリシーの適用が成功します。