アクセス制御の構成
だれが、どのようなアクセスレベルでディレクトリエントリにアクセスできるかは、アクセス制御で決まります。ディレクトリのアクセス制御を作成する方法については、「アクセス制御」を参照してください。次の手順では、デフォルトアクセスの構成や、アクセス制御規則の追加、変更、または削除の方法を説明します。
アクセス制御規則は、特定のユーザーに対する、特定のディレクトリ情報へのアクセスレベルを定義するものです。新しくアクセス制御規則を定義するには、次の 2 つの段階があります。
-
規則を適用するディレクトリ情報を指定します。保護したい情報はこのディレクトリに含まれます。
-
この情報に対し各ユーザーに与えるアクセスレベルを指定します。アクセスレベルには、厳しいものから緩やかなものの順に、none、compare、search、read、write があります。
アクセス制御規則は、特定なものをはじめに、一般的なものを後に置きます。要求する操作に最初に一致した規則が使用され、リストにある残りの規則は無視されます。
デフォルトアクセスは、アクセス制御が特に定義されていないエントリや属性に与えられるアクセスレベルです。
デフォルトのアクセスを構成するには
アクセス制御規則を追加するには
-
「作成 (Create)」メニューから「アクセス制御... (Access Control...)」を選択します。
「アクセス制御規則の作成 (Create Acces Control Rule)」ウィンドウが表示されます。
-
-
「選択エントリ (Selected entries)」メニューから、エントリを指定する方式を指定します。
エントリの指定には、識別名に基づく正規表現や LDAP フィルタを使用できます。あるいは、規則をすべてのエントリに適用する指定もできます。
-
識別名に基づく正規表現を選択した場合は、「識別名に基づく正規表現 (DN-based regular expression)」フィールドに正規表現を入力するか、「設定... (Set...)」をクリックして「識別名 (Distinguished Name)」エディタで正規表現を入力します。
正規表現で定義したエントリの一定の属性だけを保護したい場合は、「設定... (Set...)」ボタンをクリックし、保護する属性を選択します。属性を全く指定しないと、指定したエントリのすべての属性が保護されます。
-
LDAP フィルタを選択した場合は、「設定... (Set...)」ボタンをクリックして「LDAP フィルタ (LDAP Filter)」エディタを起動します。フィルタを指定し、「適用 (Apply)」をクリックします。
正規表現で定義したエントリの一定の属性だけを保護したい場合は、「設定... (Set...)」ボタンをクリックし、保護する属性を選択します。属性を全く指定しないと、指定したエントリのすべての属性が保護されます。
-
-
保護する属性名を「属性 (Attributes)」フィールドに入力します。
属性リストを表示するには、「設定... (Set...)」ボタンをクリックします。属性はいくつでも指定できます。
-
-
「作成 (Create)」メニューから「アクセス規則... (Access Rule...)」を選択します。
「アクセス規則を追加 (Add Access Rule)」ウィンドウが表示されます。
-
「規則の型 (Rule type)」を選択します。これによって、この規則を適用するユーザーの集合が定義されます。
「全ユーザー (Everyone)」、「識別名に基づく正規表現 (DN-based Regular Expression)」、「ユーザー自身 (Self)」(エントリで記述されたエンティティ)、「アドレス (Address)」、「ドメイン (Domain)」、「メンバー属性 (Member Attribute)」のいずれかを選択できます。
-
「全ユーザー (Everyone)」を選択した場合は、ディレクトリエントリにこの属性を持つすべてのユーザーにこの規則が適用されます。
-
「識別名に基づく正規表現 (DN-based Regular Expression)」を選択した場合は、規則を適用するユーザーの集合に対する正規表現を指定します。この規則は、正規表現と一致する識別名でバインドされたすべてのユーザーに適用されます。
識別名は、フィールドに直接入力したり、「設定... (Set...)」をクリックして「識別名 (Distinguished Name)」エディタを使用して作成したりできます。識別名の指定方法については、「識別名エディタの使用方法」を参照してください。
-
「アドレス (Address)」を選択した場合は、IP アドレスを指定します。
IP アドレスには、ワイルドカードを指定できます。この規則は、指定した IP アドレスでバインドされるすべてのユーザーに適用されます。
-
「ドメイン (Domain)」を選択した場合は、ドメイン名を指定します。
ドメイン名には、ワイルドカードを指定できます。この規則は、指定した IP アドレスでバインドされるすべてのユーザーに適用されます。
-
「メンバー属性 (Member Attribute)」を選択した場合は、属性を指定します。
この規則を使うと、バインドで使用する識別名をこの属性で指定したメンバーのリストに追加したり、リストから削除したりできます。
-
-
「適用 (Apply)」をクリックして、規則を追加します。
次に、ここまでに選択したエントリに他の規則を定義できます。これらのエントリに対しすべての規則の作成と追加が終わったら、「取消し (Cancel)」をクリックして、「アクセス規則を追加 (Add Access Rule)」ウィンドウを閉じます。図 4-4 は、新しく作成されたアクセス制御を示しています。ユーザーは、自分の homePhone と homePostalAddress 属性の更新を許可されます。
図 4-4 「アクセス制御規則の作成 (Create Access Control Rule)」ウィンドウ
-
「アクセス制御規則の作成 (Create Access Control Rule)」ウィンドウで「適用 (Apply)」をクリックして、新しい規則を追加します。
次に、別のエントリセットを選択し、手順 2 の説明に従ってそのアクセス制御を定義できます。
構成の変更は、dsservd デーモンを再起動すると有効になります。
アクセス制御規則を変更するには
-
変更したいアクセス制御を持つエントリセットを選択し、「選択 (Selected)」メニューから「ACL を変更... (Modify ACL...)」を選択します。
「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウが表示されます。このウィンドウは、規則をダブルクリックすると自動的に表示されます。
-
変更する規則を選択し、「選択 (Selected)」メニューから「アクセス規則を変更... (Modify Access Rule...)」を選択します。
「アクセス規則の変更 (Modify Access Rule)」ウィンドウが表示されます。このウィンドウは、変更したい規則をダブルクリックすると自動的に表示されます。
-
必要な変更を行います。
-
「適用 (Apply)」をクリックします。
他に変更が必要であれば、変更します。すべての変更と適用が終わったら、「取消し (Cancel)」をクリックして「アクセス規則の変更 (Modify Access Rule)」ウィンドウを閉じます。
-
「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウで「了解 (OK)」をクリックします。
これらの変更は、dsservd デーモンを再起動すると有効になります。
アクセス制御規則を削除するには
あるエントリセットに対するすべてのアクセス制御規則を削除するには、そのエントリセットを選択し、「選択 (Selected)」メニューから「ACL を削除 (Delete ACL)」を選択します。
そのエントリセットに対するすべてのアクセス制御規則を削除するかどうかの確認を求められます。
ACL から規則を 1 つ削除するには
-
エントリセットを選択し、「選択 (Selected)」メニューから「ACL を変更... (Modify ACL...)」を選択します。
「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウが表示されます。
-
削除する規則を選択し、「選択 (Selected)」メニューから「アクセス規則を削除 (Delete Access Rule)」を選択します。
この規則を削除するかどうかの確認を求められます。
アクセス制御規則の順序を変えるには
- © 2010, Oracle Corporation and/or its affiliates