정책 정의 유형 문서

일단 작성하여 구성한 정책은 Directory Server에 XML 파일로 저장됩니다. Directory Server에서 XML로 인코딩된 데이터는 한 장소에 저장됩니다. amAdmin.dtd(또는 콘솔)를 사용하여 정책을 정의하고 구성하지만 실제로 Directory Server에는 policy.dtd를 기반으로 한 XML로 저장됩니다. policy.dtd에는 정책 작성 태그가 없고 amAdmin.dtd에서 추출한 정책 요소 태그가 포함됩니다. 그러므로 정책 서비스는 Directory Server에서 정책을 로드할 때 policy.dtd를 기반으로 XML의 구문을 분석합니다. amAdmin.dtd는 명령줄을 사용하여 정책을 만들 때만 사용됩니다. 이 절에서는 policy.dtd의 구조에 대해 설명합니다. policy.dtd는 다음 위치에 있습니다.

AccessManager-base/SUNWam/dtd(Solairs)
AccessManager-base/identity/dtd(Linux)

이 장에서는 Solaris 디렉토리에 대한 내용만 설명합니다. Linux의 디렉토리 구조는 다르므로 유의하십시오.

Policy 요소

Policy 요소는 정책의 권한 또는 규칙과 규칙 적용 대상 또는 주제를 정의하는 루트 요소입니다. 또한 정책이 참조(위임) 정책인지 아닌지 여부와 제한(또는 조건)이 있는지 여부도 정의합니다. Policy 요소에는Rule, Conditions, Subjects,Referrals 또는 response providers 와 같은 하위 요소가 한 가지 이상 포함될 수 있습니다. 필수 XML 속성은 정책의 이름을 지정하는 name 속성입니다. referralPolicy 속성은 정책이 참조 정책인지 여부를 나타내며 정의하지 않을 경우 기본값은 일반 정책입니다. 선택 XML 속성은 name 속성과 description 속성입니다.

정책에 참조라는 태그를 붙이면 정책 평가 시 주제와 조건은 무시됩니다. 반대로 일반이라는 태그를 붙이면 정책을 평가할 때 참조가 무시됩니다.

Rule 요소

Rule 요소는 정책에 대한 구체적인 사항을 정의하며ServiceName, ResourceName 또는 AttributeValuePair의 3가지 하위 요소를 취할 수 있습니다. Rule 요소는 정책이 만들어졌던 서비스 또는 응용 프로그램의 유형과 자원 이름, 수행되는 작업을 정의합니다. 규칙은 작업 없이 정의될 수 있습니다. 예를 들어, 참조 정책 규칙에는 작업이 없습니다.

ResourceName 요소가 정의되지 않은 정책을 정의할 수도 있습니다.

ServiceName 요소

ServiceName 요소는 정책이 적용되는 서비스의 이름을 정의합니다. 이 요소는 서비스 유형을 나타냅니다. 이 요소에는 다른 요소가 포함되지 않습니다. 이 요소의 값은 sms.dtd를 기반으로 서비스의 XML 파일에 정의된 것과 같습니다. ServiceName 요소의 XML 서비스 속성은 문자열 값을 취하는 서비스의 이름입니다.

ResourceName 요소

ResourceName 요소는 작업 수행 대상인 객체를 정의합니다. 정책은 이 객체를 보호하도록 특별히 구성되었습니다. 이 요소에는 다른 요소가 포함되지 않습니다. ResourceName 요소의 XML 서비스 속성은 객체의 이름입니다. ResourceName의 예로 웹 서버의 http://www.sunone.com:8080/images 또는 디렉토리 서버의 ldap://sunone.com:389/dc=example,dc=com을 들 수 있습니다. 보다 구체적인 자원의 예로 salary://uid=jsmith,ou=people,dc=example,dc=com을 들 수 있으며 여기서 작업 대상 객체는 John Smith의 급여 정보입니다.

AttributeValuePair 요소

AttributeValuePair 요소는 작업과 그 작업의 값을 정의합니다. 이 요소는 Subject 요소, Referral 요소 및 Condition 요소의 하위 요소로 사용됩니다. Attribute 요소와 Value 요소가 모두 포함되며 XML 서비스 속성은 포함되지 않습니다.

Attribute 요소

Attribute 요소는 작업의 이름을 정의합니다. 작업은 자원에 대해 수행되는 작업 또는 이벤트입니다. POST 또는 GET은 웹 서버 자원에 대해 수행되는 작업이며 READ 또는 SEARCH는 디렉토리 서버 자원에 대해 수행되는 작업입니다. Attribute 요소는 Value 요소와 함께 사용되어야 합니다. Attribute 요소 자체는 다른 요소를 포함하지 않습니다. Attribute 요소의 XML 서비스 속성은 작업의 이름입니다.

Value 요소

Value 요소는 작업 값을 정의합니다. 작업 값으로는 허용/거부 또는 예/아니요 등이 있습니다. 그 밖의 작업 값은 부울, 숫자 또는 문자열일 수 있습니다. 작업 값은 sms.dtd를 기반으로 서비스의 XML 파일에 정의됩니다. Value 요소는 다른 요소를 포함하지 않으며 XML 서비스 속성도 포함하지 않습니다.

거부 규칙은 허용 규칙보다 항상 우선됩니다. 예를 들어 한 정책이 액세스를 거부하고 다른 정책은 허용할 경우, 두 정책에 대한 다른 모든 조건은 충족된다고 가정할 때정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 명시적인 거부 규칙이 사용될 경우 역할이나 그룹 구성원처럼 다른 주제를 통해 사용자에게 할당된 정책 때문에 액세스가 거부될 수 있습니다. 일반적으로 정책 정의 프로세스에서는 허용 규칙만 사용해야 합니다. 기본 거부는 다른 정책이 적용되지 않을 때 사용될 수 있습니다.

Subjects 요소

Subjects 하위 요소는 정책이 적용되는 객체의 집합을 식별합니다. 이 집합은 그룹의 구성원, 역할의 소유자 또는 개인 사용자에 따라 선택됩니다. 이 요소의 하위 요소는 Subject입니다. 정의될 수 있는 XML 속성은 다음과 같습니다.

name. 이 속성은 컬렉션의 이름입니다.

description. 이 속성은 주제에 대한 설명입니다.

includeType. 이 속성은 현재 사용되지 않습니다.

Subject 요소

Subject 하위 요소는 정책이 적용되는 기본의 집합을 식별합니다. 이 집합은 Subjects 요소에 의해 정의되는 집합에서 보다 구체적인 객체들의 집합을 가려낸 것입니다. 이 집합의 구성원은 역할, 그룹 구성원 또는 개별 사용자를 기반으로 할 수 있습니다. 이 요소에는 하위 요소인 AttributeValuePair 요소가 포함됩니다. 필수 XML 속성은 type입니다. 이 속성은 정의된 주제가 취해지는 객체의 집합을 식별합니다. 다른 XML 속성으로는 집합의 이름을 정의하는 name 속성과 집합이 정의된 대로인지 정책이 Subject의 구성원이 아닌 사용자에게 적용되는지 여부를 정의하는 includeType 속성이 있습니다.

다수의 Subject를 정의할 때는 최소한 그 중 하나가 정책이 적용될 사용자에게 적용되어야 합니다. false로 설정된 includeType으로 Subject를 정의한 경우 사용자는 적용할 정책에 대한 해당 Subject의 구성원이 아니어야 합니다.

Referrals 요소

Referrals 하위 요소는 정책 참조 집합을 식별합니다. 이 요소는 Referral 하위 요소를 취합니다. 정의될 수 있는 XML 속성은 집합의 이름을 정의하는 name 속성과 설명을 취하는 description 속성입니다.

Referral 요소

Referral 하위 요소는 특정 정책 참조를 식별합니다. 이 요소는 AttributeValuePair 요소를 하위 요소로 취합니다. 필수 XML 속성은 구체적으로 정의된 참조를 취하는 할당의 집합을 식별하는 type 속성입니다. 집합의 이름을 정의하는 name 속성도 포함될 수 있습니다.

Conditions 요소

Conditions 하위 요소는 정책 제한 사항(시간 범위, 인증 수준 등)의 집합을 식별합니다. 이 요소는 하나 이상의 Condition 하위 요소를 포함해야 합니다. 정의될 수 있는 XML 속성은 집합의 이름을 정의하는 name 속성과 설명을 취하는 description 속성입니다.

Conditions 요소는 정책의 선택 요소입니다.

Condition 요소

Condition 하위 요소는 특정 정책 제한 사항(시간 범위, 인증 수준 등)을 식별합니다. 이 요소는 AttributeValuePair 요소를 하위 요소로 취합니다. 필수 XML 속성은 구체적으로 정의된 조건을 취하는 제한 사항의 집합을 식별하는 type 속성입니다. 집합의 이름을 정의하는 name 속성도 포함될 수 있습니다.