前へ 目次 索引 DocHome 次へ |
iPlanet Calendar Server 管理者ガイド |
第 4 章 Calendar Server アクセス制御の管理
Calendar Server は、アクセス制御リスト (ACL) を使用してカレンダー、カレンダーのプロパティ、およびイベントや予定 (todo) などのカレンダーコンポーネントへのアクセス制御を制御します。
ユーザ別アクセス制御
Calendar Server がカレンダー、カレンダープロパティ、およびカレンダーコンポーネントへのアクセス権を決定するときの対象ユーザには、次の種類があります。
1 次カレンダー所有者
管理者とスーパーユーザ
- 1 次カレンダー所有者は、自分が所有するカレンダーに対して完全なアクセス権を持ちます。Calendar Server は、1 次所有者が自分のカレンダーにアクセスする際には、アクセス制御チェックを一切行いません。
他のカレンダー所有者
- icsuser、calmaster といった管理者やroot などのスーパーユーザは、アクセス制御による制約を受けることがなく、カレンダーやカレンダーコンポーネントに対してあらゆる操作を行えます。詳細については、「Calendar Server 管理者」を参照してください。
anonymous ユーザ
- 1 次カレンダー所有者は、自分のカレンダーに対して他の所有者を指名できます。他の所有者は、カレンダーに対するイベントや予定 (todo) のスケジュール、削除、変更、受諾、または拒否を、1 次所有者に代わって行うことができます。
- ics.conf ファイル内の service.http.allowanonymouslogin が メyesモ (デフォルト) に設定されている場合、特別なカレンダー ID (calid) anonymous は、どんなパスワードを使用しても Calendar Server にアクセスできます。anonymous ユーザは、特定のドメインに属していません。calstore.anonymous.calid パラメータを編集すると、anonymous ユーザの calid を変更できます。
- また、すべてのユーザに「読み取り」アクセス権が許可されているカレンダーの場合、匿名でカレンダーを表示することができます。たとえば次のリンクにより、ユーザは tchang:meetings という calid を使用して匿名でカレンダーを表示できます (すべてのユーザに「読み取り」アクセス権が許可されているカレンダーの場合)。
- http://calendar.sesta.com:8080/?calid=tchang:meetings
- anonymous ユーザは、カレンダー上の公的イベントや仕事の表示、印刷、および検索を行えますが、その他の操作は行えません。
- リソースカレンダーを匿名で表示する方法については、リソースカレンダーへのリンク を参照してください。
アクセス制御リスト (ACL)
Calendar Server は、アクセス制御リスト (ACL) を使用してカレンダー、カレンダーのプロパティ、およびイベントや予定 (todo) などのカレンダーコンポーネントへのアクセス制御を決定します。ACL は、1 つまたは複数のアクセス制御エントリ (ACE) で構成されます。これらのアクセス制御エントリは、同じカレンダーやコンポーネントに一括して適用される文字列です。ACL 内の各 ACE は、セミコロンで区切る必要があります。たとえば、次のようになります。ACE は、次の要素で構成されます。各要素をキャレット (^) で区切ります。
Who (ユーザ) - ACE を適用するユーザ、ドメイン、またはユーザのタイプ。
たとえば jsmith^c^wd^g という ACE の場合What (ターゲット) - アクセスする対象。カレンダー、またはイベント、予定 (todo)、カレンダープロパティなどのカレンダーコンポーネント。
How (アクセス方法) - 許可されるアクセス権の種類。読み取り、書き込み、削除など。
Grant (許可) - 許可または拒否される対象である、特定のアクセス制御権。
jsmith が、ACE を適用する対象である、「Who」要素です。
c は、アクセスされる対象 (カレンダーコンポーネントのみ) を示す、「What」要素です。
wd は、どのアクセス権を許可または拒否するかを示す、「How」要素です (書き込みと削除)。
g は、カレンダーコンポーネントに対する指定のアクセス権である書き込み権と削除権が jsmith に許可されることを示す、「Grant」要素です。
Who (ユーザ)
「Who」要素は ACE における最も重要な値であり、ACE が適用されるユーザ、ドメイン、またはユーザのタイプを示します。「Who」要素は、Universal Principal Name (UPN) とも呼ばれます。ユーザの UPN は、ユーザのログイン名とユーザのドメインを組み合わせたものです。たとえばドメイン sesta.com に属するユーザ bill の UPN は、bill@sesta.com です。
表 4-1 は、Calendar Server ACE で使用する「ユーザ」形式を示しています。
表 4-1    アクセス制御エントリ (ACE) 文字列における「Who」形式
形式
説明
例: @sesta.com は、jsmith@sesta.com、sally@sesta.com、など sesta.com に属するあらゆるユーザを指定する
@@{p|o|n}
What (ターゲット)
「What」要素は、カレンダー、イベントや予定 (todo) のようなカレンダーコンポーネント、またはカレンダープロパティといった、アクセス対象のターゲットを指定します。表 4-2 は、Calendar Server ACE で使用する「What」値を示しています。
表 4-2    アクセス制御エントリ (ACE) 文字列における「ターゲット」値
値
説明
c
p
a
How (アクセス方法)
「How」要素は、読み取り、書き込み、削除といった、許可対象のアクセス制御権のタイプを指定します。表 4-3 は、Calendar Server ACE で使用するアクセス制御権の「How」のタイプを示しています。
Grant (許可)
「許可」要素は、d (削除) や r (読み込み) など、特定のアクセスタイプのアクセス権を許可または拒否するかを指定します。表 4-4 は、Calendar Server ACE で使用する「許可」属性値を示しています。
表 4-4    アクセス制御エントリ (ACE) 文字列における「許可」値
値
説明
ユーザ ID jsmith に対し、コンポーネントとカレンダープロパティを含むカレンダー全体への「読み取り」アクセス権を許可します。
jsmith に対し、コンポーネントのみへの「書き取り」アクセス権と「削除」アクセス権を許可します。
- jsmith^a^r^g
sesta.com ドメイン内のすべてのユーザに対し、コンポーネントのみへの「スケジュール」、「空き時間表示」、および「読み取り」のアクセス権を許可します。
- jsmith^c^wd^g
他の所有者に対し、コンポーネントのみへの「書き取り」アクセス権と「削除」アクセス権を許可します。
- @sesta.com^c^sfr^g
jsmith に対し、カレンダーデータへのあらゆるアクセスを拒否します。
- @@o^c^wd^g
カレンダーの所有者すべてに対し、コンポーネントとプロパティの両方含むカレンダー全体への「読み取り」、「スケジュール」、「空き時間表示」のアクセスを許可します。
- jsmith^a^sfdwr^d
すべてのユーザに対し、「読み取り」アクセス権を許可します。
- @@o^a^rsf^g
- @^a^r^g
ACL における ACE の配置
Calendar Server が ACL を読み込んだとき、Calendar Server は見つけたターゲットへのアクセス権を許可または拒否する最初の ACE を使用します。つまり、ACL の順序には重要な意味があります。ACE 文字列は、より特別なものがより一般的なものの前に現れるような順番にすべきです。たとえば、カレンダー jsmith:sports の ACL の最初の ACE では、すべての所有者に対して読み込みアクセス権が許可され、ユーザ bjones はその所有者の中の一人であると想定します。次に、Calendar Server によってこのカレンダーに対する bjones の「読み取り」アクセス権が拒否する 2 番目の ACE が検出されます。この場合、このカレンダーに対する「読み取り」アクセス権は bjones に許可され、2 番目の ACE は最初の ACE と重複するため無視されます。つまり、bjones などの特定のユーザに対するアクセス権を確実にするには、bjones 用の ACE をACL 内でカレンダーの全ての所有者に適用する ACE のようなより一般的なエントリの前に配置する必要があります。
アクセス制御の構成パラメータ
表 4-5 は、Calendar Server がアクセス制御用に使用する ics.conf ファイル内の構成パラメータを示しています。詳細については、第 8 章「Calendar Server の構成」を参照してください。
表 4-5    アクセス制御構成パラメータ
パラメータ
説明
公的および私的イベントと仕事のフィルタ
新しいイベントや仕事を作成するとき、そのイベントや仕事が「公的」、「私的」、「日時のみ」のどれであるかを指定できます。
公的−ユーザのカレンダーに対する読み取りアクセス権を持っているユーザであれば、誰でもイベントや仕事を見ることができます。
calstore.filterprivateevents は、「私的」と「日時のみ」のイベントと仕事を Calendar Server がフィルタリング (認識) するかどうかを決定します。デフォルトの場合、このパラメータは メyesモ に設定されています。calstore.filterprivateevents を メnoモ に設定すると、Calendar Server は「私的」と「日時のみ」のイベントと仕事を「公的」のように扱います。私的−カレンダーの所有者だけがイベントや仕事を見ることができます。
日時のみ (極秘) −カレンダーの所有者は、イベントや仕事を見ることができます。カレンダーに対する読み取りアクセス権を持っている他のユーザが見られるのは、カレンダー上の「タイトルなし」だけです。タイトルは、アクティブなリンクではありません。
アクセス制御のコマンド行ユーティリティ
Calendar Server は、アクセス制御のための ACL の設定や変更を行うコマンド行ユーティリティを備えています。
前へ 目次 索引 DocHome 次へ
Copyright © 2002 Sun Microsystems, Inc. All rights reserved.
最終更新日: 2002 年 1 月 22 日