エントリと属性の定義規則
アクセス制御規則は、あるエントリと属性群に対しどのユーザーにどのアクセス権を与えるかを定義するものです。たとえば、すべてのエントリにおけるパスワードを除くすべての属性の読み取りアクセス権と、パスワード属性に対する比較アクセス権をユーザーに与えることができます。
アクセス制御規則を適用するエントリまたは属性のセットは、次の機能を使用して定義できます。
-
識別名における正規表現 (「識別名エディタの使用方法」を参照)
-
LDAP フィルタ (「フィルタエディタの使用方法」を参照)
たとえば、次のアクセス制御規則を定義できます。
-
ユーザーは、自身のパスワード属性に対し書き込みアクセス権を持っているが、他のユーザーのパスワードに対しては比較アクセス権しかない。
-
エントリの属性値として locality=San Francisco を持つユーザーは、属性値として locality=San Francisco を持つすべてのエントリに対し読み取りアクセス権を持つが、そのパスワード属性値を読み取ることはできない。
アクセス制御規則は順番に適用されるので、それらをリストする順序が重要になります。つまり、特定の規則を前に記述し、一般的な規則をそれより後に記述する必要があります。構成ツールを使ってアクセス制御規則をどのように定義し、それらの順序をどのように指定するかについては、「アクセス制御の構成」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates