グループの作成

グループとは、LDAP データベースにおいてオブジェクトのセットを表現するオブジェクトです。Sun Java System サーバーグループは、共通する属性を共有する複数のユーザーで構成されています。たとえば、会社のマーケティング部門で働く多数の従業員がオブジェクトのセットになります。この従業員たちは、「Marketing」というグループに属します。

LDAP サービスでは、グループのメンバーシップを定義するには、静的な方法 (スタティック) と動的な方法 (ダイナミック) の 2 つがあります。スタティックグループは、メンバーオブジェクトを明示的に列挙します。スタティックグループは 共通名 (Common Name、CN) であり、uniqueMembers、memberURLs、memberCertDescriptions のいずれかが含まれます。スタティックグループでは、メンバーは、cn=groupname 属性以外の共通属性は共有しません。

ダイナミックグループでは、LDAP URL を使用してグループメンバーにだけ一致する規則セットを定義できます。ダイナミックグループでは、メンバーは共通属性、または memberURL フィルタに定義される属性セットを共有します。たとえば、販売のすべての従業員を含むグループが必要で、全員がすでに ou=Sales,o=Airius.com の下の LDAP データベースに含まれている場合は、次のメンバー URL を使用してダイナミックグループを定義します。

ldap:///ou=Sales,o=sun??sub?(uid=*)

このグループは、ou=Sales,o=sun ポイントの下のツリーで、uid 属性を持つすべてのオブジェクトを持つことになります。

スタティックおよびダイナミックグループで、memberCertDescription を使用している場合は、メンバーは証明書から共通属性を共有できます。この共通属性の共有は、ACL が SSL メソッドを使用している場合にだけ当てはまります。

新規グループを作成したら、このグループにユーザー (メンバー) を追加することができます。

ここでは、次の内容について説明します。

• 「スタティックグループについて」

• 「ダイナミックグループについて」

スタティックグループについて

LDAP サービスでは、管理サーバーを使用し、任意のユーザー数の DN に同じグループ属性を指定して、スタティックグループを作成できます。スタティックグループは、ユーザーをグループに追加したり、グループから削除しないかぎり、変更されることはありません。

スタティックグループ作成のガイドライン

新規のスタティックグループを作成するために管理サーバーのインタフェースを使用するときには、次のガイドラインを考慮してください。

• スタティックグループには、その他のスタティックグループまたはダイナミックグループを含めることができます。

• 組織単位がディレクトリに定義されている場合、管理サーバーインタフェースの「Create Group」ページにある「Add New Group」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント、つまり最上位のエントリです。

• グループの編集については、「グループエントリの編集」を参照してください。

スタティックグループを作成するには

1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。

2. 「Create Group」リンクをクリックします。

3. 「Type of Group」ドロップダウンリストから「New Group」を選択し、「Go」をクリックします。

4. 「Create Group」ページに情報を入力します。

   特定のフィールドについては、オンラインヘルプを参照してください。

5. 「Create」をクリックして、グループを作成します。または、「Create and Edit」をクリックして、グループを作成してから、作成したグループの編集ページを開きます。

ダイナミックグループについて

LDAP サービスの場合、Proxy Server では、任意の属性に基づいてユーザーを自動的にグループ化する場合、または一致する DN を含む特定のグループに ACL を適用する場合に、ダイナミックグループを作成できます。たとえば、department=marketing という属性を持つ任意の DN を自動的に含めるグループを作成することができます。department=marketing に検索フィルタを適用すると、検索結果は、 department=marketing 属性を含むすべての DN からなるグループを返します。次に、このフィルタに基づいて検索結果からダイナミックグループを定義できます。さらに、結果として生成されるダイナミックグループの ACL を定義できます。

ダイナミックグループの実装方法

Proxy Server は、ダイナミックグループを objectclass=groupOfURLs として LDAP サーバースキーマ内に実装します。groupOfURLs クラスは、0 個以上の memberURL 属性を持つことができます。各属性はディレクトリ内のオブジェクトセットを記述する LDAP URL で構成されます。グループのメンバーは、これらのセットの組み合わせです。たとえば、次のグループには 1 つのメンバー URL だけが含まれます。

ldap:///o=mcom.com??sub?(department=marketing)

この例は、部署名が marketing である o=mcom.com の下のすべてのオブジェクトで構成されるセットを示しています。LDAP URL には、検索ベース DN、スコープ、およびフィルタを含むことができますが、ホスト名とポートを含むことはできません。このため、同じ LDAP サーバー上のオブジェクトだけを参照できます。すべてのスコープがサポートされます。LDAP URL については、「ダイナミックグループ作成のガイドライン」を参照してください。

グループに DN を個別に追加しなくても、すべての DN が自動的に組み込まれます。Proxy Server は ACL 検証でグループ検索が必要になるたびに LDAP サーバー検索を行うため、グループは動的に変化します。ACL ファイルで使用されるユーザー名とグループ名は、LDAP データベース内のオブジェクトの cn 属性に対応します。

---

注 –

Proxy Server は cn 属性を ACL のグループ名として使用します。

---

ACL から LDAP データベースへのマッピングは、dbswitch.conf ファイル (ACL データベース名と実際の LDAP データベース URL を関連付ける) と ACL ファイル (どのACL でどのデータベースが使用されるかを定義する) の両方に定義されます。たとえば、staff というグループのメンバーシップに基本アクセス権を設定する場合、ACL コードは groupOfanything というオブジェクトクラスを持ち、CN が staff に設定されているオブジェクトを検索します。オブジェクトは、メンバー DN を明示的に列挙するか (スタティックグループのgroupOfUniqueNames と同様)、または LDAP URL を指定することによって (たとえば groupOfURLs)、グループのメンバーを定義します。

---

注 –

グループはスタティックおよびダイナミックの両方にすることができます。グループオブジェクトには、objectclass=groupOfUniqueMembers および objectclass=groupOfURL s の両方を設定することができます。そのため、uniqueMember および memberURL の両方の属性が有効になります。グループのメンバーシップには、スタティックなメンバーとダイナミックなメンバーが混在します。

---

ダイナミックグループがサーバーパフォーマンスに与える影響

ダイナミックグループを使用すると、サーバーパフォーマンスに影響を与えます。グループメンバーシップをテストするときに、DN がスタティックグループのメンバーではない場合、Proxy Server はデータベースのベース DN に含まれるすべてのダイナミックグループをチェックします。Proxy Server は、ベース DN とスコープをユーザーの DN と比較して各 memberURL が一致するかどうかを識別します。次にユーザー DN をベース DN とし、memberURL のフィルタを使用してベース検索を実行します。この処理では、膨大な数の検索が行われることがあります。

ダイナミックグループ作成のガイドライン

新規のダイナミックグループを作成するために管理サーバーのインタフェースを使用するときには、次のガイドラインを考慮してください。

• ダイナミックグループにほかのグループを含めることはできません。

• LDAP URL は、次の書式を使用します。ホストとポートの情報は無視されるので、これらのパラメータは指定しません。

  ldap:/// base-dn?attributes? scope?(filter)

attributes、scope、および (filter) パラメータは、URL 内の位置で識別されます。どの属性も指定しない場合でも、疑問符 (?) を含めてそのフィールドを区切る必要があります。

• 組織単位がディレクトリに定義されている場合、管理サーバーインタフェースの「Create Group」ページにある「Add New Group」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント、つまり最上位のエントリです。

グループの編集については、「グループエントリの編集」を参照してください。

次の表は、LDAP URL の必須パラメータを示しています。

表 4–4 LDAP URL の必須パラメータ

パラメータ名	説明
base_dn	検索ベースの DN、またはポイント。すべての検索は、LDAP ディレクトリ内のこの場所から実行されます。多くの場合、このパラメータは、o=mcom.com のようにディレクトリのサフィックスまたはルートに設定されます。
attributes	検索によって返される属性のリスト。複数の属性を指定するときは、属性をコンマで区切ります (たとえば、cn,mail,telephoneNumber )。属性を指定しない場合、すべての属性が返されます。このパラメータは、ダイナミックグループメンバーシップのチェックでは無視されます。
scope	これはパラメータは必須です。  検索のスコープ。次のいずれかの値を指定します。  base は URL に指定された識別名 (base_dn) に関する情報だけを取得します。 one は URL に指定された識別名 (base_dn ) の 1 レベル下のエントリに関する情報を取得します。このスコープにはベースエントリは含まれません。 sub は URL に指定された識別名 (base_dn ) の下のすべてのレベルのエントリに関する情報を取得します。このスコープにはベースエントリが含まれます。
(filter)	このパラメータは必須です。  検索範囲内のエントリに適用される検索フィルタです。管理サーバーのインタフェースを使用する場合は、この属性を指定する必要があります。括弧で囲む必要があります。

ダイナミックグループの作成

ダイナミックグループを作成するには

1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。

2. 「Create Group」リンクをクリックします。

3. 「Type of Group」ドロップダウンリストから「Dynamic Group」を選択し、「Go」をクリックします。

4. 「Create Group」ページに情報を入力します。

   特定のフィールドについては、オンラインヘルプを参照してください。

5. 「Create」をクリックして、グループを作成します。または、「Create and Edit」をクリックして、グループを作成してから、作成したグループの編集ページを開きます。