Directory Proxy Server によるアクセス制御の設計

Directory Proxy Server の接続ハンドラは、サーバーに接続を試みるクライアントの分類を可能にするアクセス制御の方法を提供します。この方法では、接続がどのように分類されたかに基づいて、実行可能な操作を制限できます。

この機能を使えば、ある指定された IP アドレスから接続するクライアントだけにアクセスを制限したりすることができます。次の図は、Directory Proxy Server の接続ハンドラを使って特定の IP アドレスからの書き込み操作を拒否する方法を示したものです。

図 7–2 Directory Proxy Server の接続ハンドラのロジック

接続ハンドラの動作

接続ハンドラは、一連の条件と一連のポリシーから構成されます。Directory Proxy Server は、ある接続の起点属性をクラスの条件とマッチングさせることで、その接続のクラスメンバーシップを決定します。接続があるクラスに一致すると、Directory Proxy Server はそのクラスに格納されているポリシーをその接続に適用します。

接続ハンドラの条件には、次の情報を含めることができます。

• クライアントの物理アドレス

• ドメイン名またはホスト名

• クライアント DN のパターン

• 認証方法

• SSL

接続ハンドラには次のポリシーを関連付けることができます。

• 管理制限ポリシー:たとえば、ある特定クラスのクライアントからの接続数を制限できるようにします。

• コンテンツ適応ポリシー:属性の名前変更など、接続が実行できる操作の種類を制限できるようにします。

• データ分散ポリシー:ある接続で特定の配布方式を使用できるようにします。

Directory Proxy Server の接続ハンドラやその設定方法の詳細については、『Sun Java System Directory Server Enterprise Edition 6.1 Reference』の第 20 章「Connections Between Clients and Directory Proxy Server」を参照してください。