仮想データビューでのアクセス制御の定義

仮想データビューの ACI は、LDAP ディレクトリまたは LDIF ファイルに保存できます。仮想 ACI の機能方法については、『Sun Java System Directory Server Enterprise Edition 6.1 Reference』の「Access Control On Virtual Data Views」を参照してください。

Directory Proxy Server インスタンスを作成すると、仮想アクセス制御の次のデフォルト設定が定義されます。

• ACI がデフォルトで保存される LDIF ファイル ( instance-path/config/access_controls.ldif)

• virtual access controls という名前の LDIF データビュー

  このデータビューは、Directory Proxy Server が LDIF ファイルに保存された ACI にアクセスできるようにします。

新しい ACI ストレージリポジトリを定義する

前述のデフォルト ACI 設定を使用しない場合は、別のストレージリポジトリを定義できます。

DSCC を使用してこの作業を実行することはできません。この手順で説明しているように、コマンド行を使用してください。

1. 仮想 ACI が保存されるリポジトリのデータビューを作成します。

   • ACI が LDAP ディレクトリに保存される場合は、「LDAP データビューの作成と設定」の説明に従って、LDAP データソースと LDAP データビューを作成します。

   • ACI が LDIF ファイルに保存される場合は、「LDIF データビューの作成と設定」の説明に従って、LDIF データビューを作成します。

2. 前の手順で作成したデータビューに ACI データビューとして名前を指定します。

   $ dpconf set-virtual-aci-prop -h host -p port aci-data-view:data-view-name
   

3. ACI リポジトリが LDAP ディレクトリの場合は、ACI データビューへのアクセスに必要な資格を指定します。

   $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-dn:bind-dn
   $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-pwd-file:filename
   

仮想アクセス制御を設定する

使用する ACI リポジトリに関係なく、仮想アクセス制御を設定する必要があります。

ACI のプールを作成し、ACI データビューによって直接 ACI を管理できるのはプロキシマネージャーだけです。ACI リポジトリが LDAP ディレクトリの場合、aciSource オブジェクトクラスと dpsaci 属性が含まれるようにそのディレクトリのスキーマを変更します。スキーマのカスタマイズの詳細については、「Directory Server スキーマの拡張」を参照してください。

DSCC を使用してこの作業を実行することはできません。この手順で説明しているように、コマンド行を使用してください。

1. ACI リポジトリに ACI のプールを作成し、グローバル ACI を設定します。

   グローバル ACI の詳細については、『Sun Java System Directory Server Enterprise Edition 6.1 Reference』の「Global ACIs」を参照してください。グローバル ACI を設定するには、ACI データビューのビューベースの下に aciSource エントリを追加します。次に例を示します。

   % ldapmodify -p port -D "cn=proxy manager" -w - dn: cn=data-source-name,cn=virtual access controls changetype: add objectclass: aciSource dpsaci: (targetattr="*") (target = "ldap:///ou=people,o=virtual") (version 3.0; \ acl "perm1"; allow(all) groupdn="ldap:///cn=virtualGroup1,o=groups,o=virtual";) cn: data-source-name

2. この ACI のプールを使用するよう 1 つまたは複数の接続ハンドラを設定します。

   % dpconf set-connection-handler-prop -h host -p port connection-handler \ aci-source:data-source-name

3. 必要な ACI をデータに追加します。

   これを行うには、ACI を含む仮想エントリを作成します。次に例を示します。

   % ldapmodify -p port -D "cn=virtual application,ou=application users,dc=com" -w - dn: ou=people,o=virtual changetype: modify add: dpsaci dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(all) userdn ="ldap:///self";) dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(search, read, compare) \ userdn ="ldap:///anyone";)

   ---

   注 –

   適切なアクセス権限をもつユーザーなら誰でも、データビューを使用して仮想 ACI を追加、取得できます。

   ---