Rule 요소

Rule 요소는 정책에 대한 구체적인 사항을 정의하며ServiceName, ResourceName 또는 AttributeValuePair의 3가지 하위 요소를 취할 수 있습니다. Rule 요소는 정책이 만들어졌던 서비스 또는 응용 프로그램의 유형과 자원 이름, 수행되는 작업을 정의합니다. 규칙은 작업 없이 정의될 수 있습니다. 예를 들어, 참조 정책 규칙에는 작업이 없습니다.

ResourceName 요소가 정의되지 않은 정책을 정의할 수도 있습니다.

ServiceName 요소

ServiceName 요소는 정책이 적용되는 서비스의 이름을 정의합니다. 이 요소는 서비스 유형을 나타냅니다. 이 요소에는 다른 요소가 포함되지 않습니다. 이 요소의 값은 sms.dtd를 기반으로 서비스의 XML 파일에 정의된 것과 같습니다. ServiceName 요소의 XML 서비스 속성은 문자열 값을 취하는 서비스의 이름입니다.

ResourceName 요소

ResourceName 요소는 작업 수행 대상인 객체를 정의합니다. 정책은 이 객체를 보호하도록 특별히 구성되었습니다. 이 요소에는 다른 요소가 포함되지 않습니다. ResourceName 요소의 XML 서비스 속성은 객체의 이름입니다. ResourceName의 예로 웹 서버의 http://www.sunone.com:8080/images 또는 디렉토리 서버의 ldap://sunone.com:389/dc=example,dc=com을 들 수 있습니다. 보다 구체적인 자원의 예로 salary://uid=jsmith,ou=people,dc=example,dc=com을 들 수 있으며 여기서 작업 대상 객체는 John Smith의 급여 정보입니다.

AttributeValuePair 요소

AttributeValuePair 요소는 작업과 그 작업의 값을 정의합니다. 이 요소는 Subject 요소, Referral 요소 및 Condition 요소의 하위 요소로 사용됩니다. Attribute 요소와 Value 요소가 모두 포함되며 XML 서비스 속성은 포함되지 않습니다.

Attribute 요소

Attribute 요소는 작업의 이름을 정의합니다. 작업은 자원에 대해 수행되는 작업 또는 이벤트입니다. POST 또는 GET은 웹 서버 자원에 대해 수행되는 작업이며 READ 또는 SEARCH는 디렉토리 서버 자원에 대해 수행되는 작업입니다. Attribute 요소는 Value 요소와 함께 사용되어야 합니다. Attribute 요소 자체는 다른 요소를 포함하지 않습니다. Attribute 요소의 XML 서비스 속성은 작업의 이름입니다.

Value 요소

Value 요소는 작업 값을 정의합니다. 작업 값으로는 허용/거부 또는 예/아니요 등이 있습니다. 그 밖의 작업 값은 부울, 숫자 또는 문자열일 수 있습니다. 작업 값은 sms.dtd를 기반으로 서비스의 XML 파일에 정의됩니다. Value 요소는 다른 요소를 포함하지 않으며 XML 서비스 속성도 포함하지 않습니다.

거부 규칙은 허용 규칙보다 항상 우선됩니다. 예를 들어 한 정책이 액세스를 거부하고 다른 정책은 허용할 경우, 두 정책에 대한 다른 모든 조건은 충족된다고 가정할 때정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 명시적인 거부 규칙이 사용될 경우 역할이나 그룹 구성원처럼 다른 주제를 통해 사용자에게 할당된 정책 때문에 액세스가 거부될 수 있습니다. 일반적으로 정책 정의 프로세스에서는 허용 규칙만 사용해야 합니다. 기본 거부는 다른 정책이 적용되지 않을 때 사용될 수 있습니다.