一時アクセス権を与えるには

基本構成を変更しなくても、エントリが別の名前付きコンテキストにあるリモートユーザーに一時アクセス権を与えることができます。

1. USERS テーブルの「Dynamic」セクションにおいて、次の書式で BaseDN と FILTER トークンを接頭辞 TMP_ の構成に追加し、一時的な値を割り当てます。

   TMP_BASEDN = new_search_baseTMP_Filter = (&(Objectclass=remoteUser)(uid=$UserID)(uid=userid))

   • new_search_base は、一時アクセス権を与えるユーザーの remoteUser エントリを持つ名前付きコンテキストです。この名前付きコンテキストが別のサーバーに格納されている場合は、2 つのサーバーの間に照会が定義されていなければなりません。

   • userid は、リモートユーザーの実際のユーザー ID です。この ID を指定することによって、そのユーザーだけにアクセス権が与えられます。つまり、新しい検索ベースでオブジェクトクラスが remoteUser であるすべてのエントリにアクセス権が与えられることはありません。

2. dsradiusd デーモンを再起動します。これにより、新しい構成ファイルが有効になります。

   # /opt/SUNWconn/ldap/sbin/dsradius stop
   # /opt/SUNWconn/ldap/sbin/dsradius start
   

   たとえば、リモートユーザーの基本識別名が l=Paris, o=XYZ, c=US で、Madrid にいるリモートユーザー Felipe Gonzalez に一時アクセス権を与える場合には、ローカルの radius.mapping ファイルを変更して次の行を組み込みます。

   BaseDN= l=Paris, o=xyz, c=us
   TMP_BaseDN= l=Madrid, o=xyz, c=us
   FILTER=(&(Objectclass=remoteUser)(uid=$UserID))
   TMP_Filter=(&(Objectclass=remoteUser)(uid=$UserID)(uid=fgonzalez))

   この例では、ローカルのディレクトリサーバーと、名前付きコンテキスト l=Madrid, o=XYZ, c=US を持つディレクトリサーバーとの間に照会が定義されているものとします。

   XYZ corporation のすべてのリモートユーザーにアクセス権を一時的に与えるには、次の一時的な基本識別名を使用します。

   TMP_BaseDN= o=xyz, c=us

   この例では、l=Paris, o=XYZ, c=US データ格納を持つサーバーから o=XYZ, c=US データ格納を持つサーバーへのデフォルトの照会があるとします。さらに、o=XYZ, c=US データ格納には、他のサーバーにあるすべてのデータ格納への照会エントリが含まれているとします。