この項に示した ldif ファイル replacement.acis.ldif は統合した ACI をルートサフィックスにインストールし、使用していない ACI をディレクトリから削除します。Delegated Administrator が提供するこの ldif ファイルは、次のディレクトリにあります。
da_base/lib/config-templates
ldapmodify コマンドを実行して replacement.acis.ldif ファイルをディレクトリに適用すると、ルートサフィックスにある aci 属性のすべてのインスタンスが削除され、replacement.acis.ldif ファイルにある ACI と置き換えられます。
このように、処理手順としては、まずルートサフィックスからすべての ACI を削除してから、下記の ACI と置き換えます。ポータルサーバーなど、ほかのアプリケーションによって生成された ACI がディレクトリに含まれている場合は、その ACI を別のファイルに保存しておき、replacement.acis.ldif ファイルを適用したあとに再度追加します。
この ldif ファイルを使用して ACI を整理する手順については、「ACI を置き換える手順」を参照してください。
dn: $rootSuffix changetype: modify replace: aci aci: (targetattr = “*”)(version 3.0; acl “Configuration Administrator”; allow (all) userdn=”ldap:///uid=admin,ou=Administrators,ou=TopologyManagement, o=NetscapeRoot”;) aci: (target=”“ldap:///$rootSuffix”) (targetfilter=(!(objectclass=sunServiceComponent))) (targetattr != “userPassword||passwordHistory ||passwordExpirationTime||passwordExpWarned||passwordRetryCount ||retryCountResetTime||accountUnlockTime||passwordAllowChangeTime”) (version 3.0; acl “anonymous access rights”; allow (read,search,compare) userdn = “ldap:///anyone”; ) aci: (targetattr != “nsroledn||aci||nsLookThroughLimit||nsSizeLimit ||nsTimeLimit||nsIdleTimeout||passwordPolicySubentry||passwordExpiration Time ||passwordExpWarned||passwordRetryCount||retryCountResetTime ||accountUnlockTime||passwordHistory||passwordAllowChangeTime||uid||mem berOf ||objectclass||inetuserstatus||ou||owner||mail||mailuserstatus ||memberOfManagedGroup||mailQuota||mailMsgQuota||mailhost ||mailAllowedServiceAccess||inetCOS||mailSMTPSubmitChannel”) (version 3.0; acl “Allow self entry modification”; allow (write) userdn =”ldap:///self”;) aci: (targetattr != “ aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit|| nsIdleTimeout”) (version 3.0; acl “Allow self entry read search”; allow(write) userdn =”ldap:///self”;) aci: (target=”ldap:///$rootSuffix”) (targetattr=”*”) (version 3.0; acl “S1IS Proxy user rights”; allow (proxy) userdn = “ldap:///cn=puser,ou=DSAME Users, $rootSuffix”; ) aci: (target=”ldap:///$rootSuffix”) (targetattr=”*”) (version 3.0; acl “S1IS special dsame user rights for all under the root suffix”; allow (all) userdn = “ldap:///cn=dsameuser,ou=DSAME Users, $rootSuffix”; ) aci: (target=”ldap:///$rootSuffix”) (targetattr=”*”) (version 3.0; acl “S1IS special ldap auth user rights”; allow (read,search) userdn = “ldap:///cn=amldapuser,ou=DSAME Users, $rootSuffix”; ) aci: (target=”ldap:///$rootSuffix”) (targetattr=”*”) (version 3.0; acl “S1IS Top-level admin rights”; allow (all) roledn = “ldap:///cn=Top-level Admin Role, $rootSuffix”; ) aci: (targetattr=”*”) (version 3.0; acl “Messaging Server End User Administrator Read Only Access”; allow (read,search) groupdn=”ldap:///cn=Messaging End User Administrators Group,ou=Groups, $rootSuffix”;) aci: (targetattr=”objectclass || mailalternateaddress || Mailautoreplymode || mailprogramdeliveryinfo || preferredlanguage || maildeliveryoption || mailforwardingaddress || mailAutoReplyTimeout || mailautoreplytextinternal || mailautoreplytext || vacationEndDate || vacationStartDate || mailautoreplysubject || maxPabEntries || mailMessageStore || mailSieveRuleSource || sunUCDateFormat || sunUCDateDeLimiter || sunUCTimeFormat || mailuserstatus || maildomainstatus”) (version 3.0; acl “Messaging Server End User Administrator All Access”; allow (all) groupdn = “ldap:///cn=Messaging End User Administrators Group,ou=Groups, $rootSuffix”;) aci: (targetattr = “*”) (version 3.0;acl “Allow Read-Only Access”; allow (read,search,compare) groupdn = “ldap:///cn=Read-Only,ou=Groups, $rootSuffix”;) aci: (target=”ldap:///cn=Organization Admin Role,($dn),$rootSuffix”) (targetattr=”*”) (version 3.0; acl “S1IS Organization Admin Role access deny”; deny (write,add,delete,compare,proxy) roledn = “ldap:///cn=Organization Admin Role,($dn), $rootSuffix”;) aci: (target=”ldap:///($dn),$rootSuffix”) (targetattr=”*”) (version 3.0; acl “Organization Admin Role access allow read”; allow(read,search) roledn = “ldap:///cn=Organization Admin Role,[$dn], $rootSuffix” ;) aci: (target=”ldap:///($dn),$rootSuffix”) (targetfilter=(!(|(nsroledn=cn=Top-level Admin Role,$rootSuffix) (entrydn=($dn),$rootSuffix)))) ( targetattr = “*”) (version 3.0; acl “S1IS Organization Admin Role access allow”; allow (all) roledn = “ldap:///cn=Organization Admin Role,[$dn], $rootSuffix”;)
この手順を開始する前に、ディレクトリにある ACI を確認してください。この処理によって削除される ACI の中に、必要なものがないかどうかを調べる必要があるためです。
この手順では、まずすべての ACI をルートサフィックスから削除して、以下に示されている ACI に置き換えます。Massaging Server 以外のアプリケーションによって生成された ACI がディレクトリに含まれている場合は、その ACI を別のファイルに保存しておき、replacement.acis.ldif ファイルを適用したあとに再度追加します。
Access Manager と Messaging Server によって生成された既存の ACI を分析する方法については、この付録の後半にある次の項を参照してください。
次の手順に従って、ルートサフィックスの ACI を統合し、使用していない ACI を削除します。
ルートサフィックスにある既存の ACI を保存します。
これは、次の例のように、ldapsearch コマンドを使って行います。
ldapsearch -D “cn=Directory Manager” -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>
各表記の意味は次のとおりです。
<directory manager> は、Directory Server 管理者のパスワードです。
<$rootSuffix> は、ルートサフィックスです (o=usergroup など)。
<filename> は、保存された ACI が書き込まれるファイルの名前です。
replacement.acis.ldif ファイルをコピーし、名前を変更します。
Delegated Administrator をインストールすると、replacement.acis.ldif ファイルが次のディレクトリにインストールされます。
da_base /lib/config-templates
replacement.acis.ldif ファイルのコピーの $rootSuffix エントリを編集します。
ルートサフィックスのパラメータ $rootSuffix をユーザーのルートサフィックス (o=usergroup など) に変更します。$rootSuffix パラメータは ldif ファイルの中に繰り返し現れるので、必ずすべてのインスタンスを置き換えてください。
LDAP ディレクトリツール ldapmodify を使用して、ACI を置き換えます。
コマンド実行の例を次に示します。
ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>
各表記の意味は次のとおりです。
<directory manager> は Directory Server 管理者の名前です。
<password> は、Directory Service 管理者のパスワードです。
<replacement.acis.finished.ldif> は、ディレクトリ内で ACI の統合と削除を行うための編集済み ldif ファイルの名前です。
Delegated Administrator コンソールで 1 つの組織を作成すると、その組織ノードに ACI のグループが 1 つ作成されます。
前述のとおり ACI を置き換えると、こうした組織ごとの ACI は不要になります。この場合は、Access Manager コンソールを使用して、組織ごとに ACI が作成されないようにします。
amadmin として AM コンソールにログインします。
AM コンソールは、次の URL にあります。
http://< machine name>:<port >/amconsole
各表記の意味は次のとおりです。
<machine name> は、Access Manager を実行しているマシンです。
<port> は、ポートです。
「サービス設定」タブを選択します。
デフォルトでは、「管理」設定ページが表示されます。
コンソールの右側をスクロールダウンして、「ダイナミック管理ロール ACI」を表示します。
「ダイナミック管理ロール ACI」のテキストボックスの中にあるすべての ACI を選択して、削除します。
変更した設定を保存します。