デフォルトのアクセス制御規則

デフォルトのアクセス制御は、インストール時に次のように定義されます。

• すべてのユーザーには、userPassword 属性の値に対し比較アクセス権があります。userPassword 属性の値を変更するには、その属性を持つエントリの識別名でバインドする必要があります。つまりパスワードは、エントリの所有者だけが変更できます。

• すべてのユーザーには、chapPasswd、radiusLoginPasswd、radiusPppPasswd、radiusSlipPasswd の各属性値に対して比較アクセス権があります。これらの属性を持つエントリの識別名でバインドするユーザーには、これらの属性に対する書き込みアクセス権が与えられます。

• エントリの識別名でバインドするユーザーには、そのエントリの userPassword、gecos、loginShell の各属性に対する書き込みアクセス権があります。それ以外のユーザーは読み取りアクセス権だけです。

• すべてのユーザーには、cn、dataSource、homeDirectory、messageStore、messageStoreSizeQuota、mail、mailServer、objectStatus、preferredRfc822Recipient、rfc822Mailbox、uid の各属性に対する読み取りアクセス権があります。

• エントリのメンバー属性が TRUE と結合可能であれば、その属性に対しどのユーザーも自身の識別名を追加または削除できます。

• システム管理者には、常にすべてのエントリのすべての属性に対し完全なアクセス権があります。管理者に与えられたアクセス権は構成ファイルに定義されていないので、変更できません。このため、ディレクトリのすべてのエントリのすべての属性に対してアクセス権を持つユーザーが常に少なくとも 1 人いることになります。

これらの規則は、特定のものから一般的なものへ順番に適用されます。

例 1-1 は、ディレクトリサーバー構成ファイル /etc/opt/SUNWconn/ldap/current/dsserv.acl.conf に定義されているデフォルトのアクセス制御です。

例 1-1 デフォルトのアクセス制御

access to attrs=userPassword	by self write
	by * compare

# Radius ACLs
access to attrs=chapPassword, radiusLoginPasswd, radiusPppPasswD,
radiusSlipPasswd
	by self write
	by * compare

access to attrs=sharedKey
	by self write
	by * compare

# dsyppasswdd ACLs
access to attrs=userPassword
	by self write
	by * compare

access to attrs=gecos,loginShell
	by self write

# SIMS ACLs
access to attrs=cn, dataSource, homeDirectory, mail, mailHost,
mailQuota, objectStatus, preferredRfc822Recipient, rfc822Mailbox,
uid
	by self read
	by * read

# Default ACLs
access to filter="joinable=TRUE" attrs=member,entry
	by dnattr=member selfwrite

access to * by self read

Sun Directory Services のアクセス制御規則の構成方法については、「アクセス制御の構成」を参照してください。