付録 C   LDAP URLs


LDAP クエリーを指定するには、URL を使用して Directory Server ホストマシンと DN または検索フィルタを指定する方法があります。iPlanet Directory Server では、LDAP URL として送信されたクエリーを処理し、結果を表す HTML ページを返します。これにより、匿名検索が許可されている場合は、Web ブラウザでディレクトリの検索を実行できます。

また、Directory Server のレフェラルやアクセス制御命令を管理する場合も、LDAP URL を使用してターゲットエントリを指定します。

この付録は、次の節で構成されています。

• LDAP URL のコンポーネント

• 安全でない文字のエスケープ

• LDAP URL の例

LDAP URL のコンポーネント

---

LDAP URL の構文は次のとおりです。

ldap[s]://hostname:port/base_dn?attributes?scope?filter

ldap:// プロトコルは、セキュリティで保護されていない接続を経由して LDAP サーバに接続する場合に使用されます。また、ldaps:// プロトコルは、SSL 接続を経由して LDAP サーバに接続する場合に使用されます。表 C-1 に、LDAP URL のコンポーネントを示します。

表 C-1 LDAP URL のコンポーネント

コンポーネント	内容
hostname	LDAP サーバの名前 (またはピリオドで区切った IP アドレス)。たとえば、次のようにする ldap.siroe.com or 192.202.185.90
port	LDAP サーバのポート番号 (例 : 696) port を指定しないと、標準の LDAP ポート (389) または LDAPS ポート (636) が使用される
base_dn	ディレクトリ内のエントリの識別名 (DN)。この DN は、検索の開始ポイントとなるエントリを識別する base DN を指定しないと、検索はディレクトリツリーのルートから開始される
attributes	検索結果として返される属性。2 つ以上の属性を指定する場合は、コンマ (,) を使用して各属性を区切る (例 : 「"cn,mail,telephoneNumber"」) attributes を URL に指定しないと、すべての属性が返される
scope	検索の適用範囲。次のいずれかの値をとる base を指定すると、URL に指定された識別名 (base_dn) に関するデータだけを検出する one を指定すると、URL に指定された識別名 (base_dn) の 1 つ下のレベルにあるエントリに関するデータを検出する。ベースエントリは、この適用範囲には含まれない sub を指定すると、URL に指定された識別名 (base_dn) のすべての下位レベルにあるエントリに関するデータを検出する。ベースエントリは、この適用範囲に含まれる scope を指定しないと、base 検索が実行される
filter	検索の指定範囲内のエントリに適用するための検索フィルタ filter を指定しないと、フィルタ (objectClass=*) が使用される

attributes、scope、および filter の各コンポーネントは、URL 中の位置によって識別されます。属性をまったく指定しない場合も、フィールドの区切り文字として疑問符 (?) を挿入する必要があります。

たとえば、「"(sn=Jensen)"」にマッチするエントリの属性をすべて返すサブツリー検索が「"dc=siroe,dc=com"」から開始されるように指定するには、次の LDAP URL を使用します。

ldap://ldap.siroe.com/dc=siroe,dc=com??sub?(sn=Jensen)

連続した 2 つの疑問符 ?? は、attributes が指定されていないことを表します。この場合、URL で特定の属性が識別されないので、検索結果としてすべての属性が返されます。

安全でない文字のエスケープ

---

URL 中の「安全でない」文字はすべて特別な文字列で表す必要があります。このことを、安全でない文字のエスケープと呼びます。

たとえば、空白文字は「安全でない」文字に含まれるので、URL 中では %20 と表す必要があります。したがって、識別名「"o=siroe.com corporation"」は「"o=siroe.com%20corporation"」と符号化する必要があります。

次の表に、URL 中で使用する場合に「安全でない」とみなされる文字と、代わりに使用するエスケープ文字を示します。

「安全でない」文字	エスケープ文字
空白文字	%20
<	%3c
>	%3e
"	%22
#	%23
%	%25
{	%7b
}	%7d
|	%7c
\	%5c
^	%5e
~	%7e
[	%5b
]	%5d
ﾔ	%60

LDAP URL の例

---

• 次の LDAP URL では、識別名 dc=siroe,dc=com を持つエントリのベース検索を指定する

  ldap://ldap.siroe.com/dc=siroe,dc=com

  • ポート番号が指定されていないので、標準の LDAP ポート番号 (389) が使用される

  • 属性が指定されていないので、検索結果にはすべての属性が含まれる

  • 検索の適用範囲が指定されていないので、検索処理はベースエントリ dc=siroe,dc=com に限定される

  • フィルタが指定されていないので、ディレクトリにはデフォルトのフィルタ (objectclass=*) が使用される

• 次の LDAP URL では、識別名 dc=siroe,dc=com を持つエントリの postalAddress 属性を検出する

  ldap://ldap.siroe.com/dc=siroe,dc=com?postalAddress

  • 検索の適用範囲が指定されていないので、検索処理はベースエントリ dc=siroe,dc=com に限定される

  • フィルタが指定されていないので、ディレクトリにはデフォルトのフィルタ (objectclass=*) が使用される

• 次の LDAP URL では、Barbara Jensen のエントリの cn、mail、および telephoneNumber 属性を検出する

  ldap://ldap.siroe.com/cn=Barbara%20Jensen,dc=siroe,dc=com?cn,mail, telephoneNumber

  • 検索の適用範囲が指定されていないので、検索処理はベースエントリ cn=Barbara Jensen,dc=siroe,dc=com に限定される

  • フィルタが指定されていないので、ディレクトリにはデフォルトのフィルタ (objectclass=*) が使用される

• 次の LDAP URL では、dc=siroe,dc=com のすべての下位レベルを対象に、Jensen という姓を持つエントリの検索を指定する

  ldap://ldap.siroe.com/dc=siroe,dc=com??sub?(sn=Jensen)

  • 属性が指定されていないので、検索結果にはすべての属性が含まれる

  • 検索の適用範囲に sub が指定されているので、検索対象にはベースエントリ dc=siroe,dc=com とそのすべての下位レベルにあるエントリが含まれる

• 次の LDAP URL では、dc=siroe,dc=com の 1 つ下のレベルにあるすべてのエントリに対するオブジェクトクラスの検索を指定する

  ldap://ldap.siroe.com/dc=siroe,dc=com?objectClass?one

  • 検索の適用範囲に one が指定されているので、検索対象にはベースエントリ dc=siroe,dc=com の 1 つ下のレベルにあるすべてのエントリが含まれる。ただし、ベースエントリそのものは、検索対象には含まれない

  • フィルタが指定されていないので、ディレクトリにはデフォルトのフィルタ (objectclass=*) が使用される

    
    

    ---

    注	LDAP URL の構文では、資格やパスワードを指定できません。LDAP URL による検索の処理要求は、LDAP URL をサポートする LDAP クライアントが認証メカニズムを提供しない限り、LDAP URL は未認証 (匿名) となります。

    ---