ダイナミックグループの実装方法

Proxy Server は、ダイナミックグループを objectclass=groupOfURLs として LDAP サーバースキーマ内に実装します。groupOfURLs クラスは、0 個以上の memberURL 属性を持つことができます。各属性はディレクトリ内のオブジェクトセットを記述する LDAP URL で構成されます。グループのメンバーは、これらのセットの組み合わせです。たとえば、次のグループには 1 つのメンバー URL だけが含まれます。

ldap:///o=mcom.com??sub?(department=marketing)

この例は、部署名が marketing である o=mcom.com の下のすべてのオブジェクトで構成されるセットを示しています。LDAP URL には、検索ベース DN、スコープ、およびフィルタを含むことができますが、ホスト名とポートを含むことはできません。このため、同じ LDAP サーバー上のオブジェクトだけを参照できます。すべてのスコープがサポートされます。LDAP URL については、「ダイナミックグループ作成のガイドライン」を参照してください。

グループに DN を個別に追加しなくても、すべての DN が自動的に組み込まれます。Proxy Server は ACL 検証でグループ検索が必要になるたびに LDAP サーバー検索を行うため、グループは動的に変化します。ACL ファイルで使用されるユーザー名とグループ名は、LDAP データベース内のオブジェクトの cn 属性に対応します。

Proxy Server は cn 属性を ACL のグループ名として使用します。

ACL から LDAP データベースへのマッピングは、dbswitch.conf ファイル (ACL データベース名と実際の LDAP データベース URL を関連付ける) と ACL ファイル (どのACL でどのデータベースが使用されるかを定義する) の両方に定義されます。たとえば、staff というグループのメンバーシップに基本アクセス権を設定する場合、ACL コードは groupOfanything というオブジェクトクラスを持ち、CN が staff に設定されているオブジェクトを検索します。オブジェクトは、メンバー DN を明示的に列挙するか (スタティックグループのgroupOfUniqueNames と同様)、または LDAP URL を指定することによって (たとえば groupOfURLs)、グループのメンバーを定義します。

グループはスタティックおよびダイナミックの両方にすることができます。グループオブジェクトには、objectclass=groupOfUniqueMembers および objectclass=groupOfURL s の両方を設定することができます。そのため、uniqueMember および memberURL の両方の属性が有効になります。グループのメンバーシップには、スタティックなメンバーとダイナミックなメンバーが混在します。