付録 A
ルートとドメインの ACI の例
この付録に記載した ACI は、ディレクトリ情報ツリーでドメインまたはルートノードを作成したときにインストールされるデフォルトの ACI です。これらの ACI は、システムの要件に応じて変更できます。さらに、ルートやドメインのエントリで LDAP 検索を行うことによって、これらの ACI をオンラインで表示できます。ドメイン組織 ACI は、ドメイン組織を作成したときに、LDAP を使用して追加する必要があることに注意してください。この付録には、以下の節があります。
|
注
|
ドメイン、ユーザ、グループのエントリ用に DC ツリーを使用している場合 (つまり、組織ツリーがない場合)、この付録に記載した組織ツリー用の ACI はすべて不要です。その場合は、DC ツリーの ACI 内に記載されている「<OrgRoot>」を <DCRoot> の値に変更します。
|
ACI の例内の変数の定義
<OrgRoot> - 組織ツリーのルート。デフォルトのインストールでユーザとグループのエントリが作成される場所
<DCRoot> - ドメインコンポーネントツリーのルート。ドメインエントリが作成される場所
<OrgNodeDN> - 組織ツリー内のドメインノード。ドメインのユーザとグループのエントリが置かれる場所
<DCNodeDN> - DC ツリー内のドメインノード。ドメインのユーザとグループのエントリが置かれる場所
<DomainOrgNodeDN> - ドメインコンポーネントツリーのルート。ドメインエントリが作成される場所
組織ツリールートノード ACI
次の ACI は、トップレベル管理者、ドメイン管理者、ドメイン組織管理者、ファミリーグループ管理者、メールリスト所有者、エンドユーザに必要なアクセス権を与えます。必要な場合は、ツリー内の下位のドメインノードやドメイン組織ノードで、追加の ACI を設定します。ネームスペースのセットアップを最初から手動で実行する場合 (つまり、ネームスペースの作成に iPlanet Messaging Server インストーラを使用しない場合)、組織ツリールートノードで ACI を設定する必要があります。
コード例 A-1 組織ツリールートノード ACI
dn: <OrgRoot>
|
changetype: modify
|
add: aci:
|
#
|
#-----------------------------------
|
# iDA ユーザのアクセス制御
|
#
|
# すべてのエントリ内のすべての属性に対する読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "NDAUser access -
|
product=ims5.0,class=nda,num=1,version=1"; allow (read,search)
|
userdn="ldap:///uid=NDAUser,ou=config,<OrgRoot>";)
|
#
|
# すべてのドメインエントリの nsNum* 属性に対する書き込みアクセスを許可する
|
#
|
aci: (targetattr="nsNumUsers||nsNumDepts||nsNumMailLists||nsNumDomains")
|
(version 3.0; acl "NDAUser access - product=ims5.0, class=nda,num=2,
|
version=1"; allow (write) userdn="ldap:///uid=NDAUser,ou=config,
|
<OrgRoot>";)
|
#
|
#-----------------------------------
|
# サービス管理者のアクセス制御
|
#
|
# すべての DCROOT ノードに対する読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "SA root node access -
|
product=ims5.0,class=nda,num=3,version=1"; allow (all)
|
groupdn="ldap:///cn=Service Administrators,ou=Groups,<OrgRoot>";)
|
#
|
#-----------------------------------
|
# ドメイン管理者の制御
|
#
|
# すべてのドメインコンテナノードに対する書き込みと削除のアクセスを拒否する
|
#
|
aci: (targetfilter="objectclass=nsManagedDomain") (version 3.0; acl
|
"Domain Admin domain container access -
|
product=ims5.0,class=nda,num=5,version=1"; deny (delete,write)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Domain Administrators*)" or
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Domain Administrators*)";)
|
#
|
#-----------------------------------
|
# ユーザのアクセス制御
|
#
|
# self に対して、読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetOrgPerson)) (version
|
3.0; acl "User self search and read - product=ims5.0,class=nda,num=6,
|
version=1"; allow (read,search) userdn="ldap:///self";)
|
#
|
# self に対して、書き込みアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "Allow self entry modification -
|
product=ims5.0,class=nda,num=7,version=1";
|
allow (write) userdn = "ldap:///self";)
|
#
|
# uid、ou、owner、nsDAModifiableBy、nsDACapability、
|
# mail、mailAlternateAddress、memberOf、および nsDADomain 属性の
|
# self に対して、書き込みアクセスを拒否する
|
#
|
aci: (targetattr="uid||ou||owner||nsDAModifiableBy||nsDACapability||
|
mail||mailAlternateAddress||memberOf||nsDADomain||inetuserstatus||
|
mailuserstatus||memberOfManagedGroup||mailQuota||mailMsgQuota||
|
inetSubscriberAccountId||dataSource||mailhost||mailAllowedServiceAccess
|
||pabURI||inetCOS") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0; acl "User self modification - product=ims5.0,class=nda,
|
num=8,version=1"; deny (write) userdn = "ldap:///self" and
|
userdn != "ldap:///<OrgRoot>??sub?(memberOf=cn=Domain Administrators*)"
|
and userdn !=
|
"ldap:///<DCRoot>??sub?(memberOf=cn=Domain Administrators*)"
|
and groupdn != "ldap:///cn=Service Administrators,ou=groups,<OrgRoot>";)
|
#
|
# self に対して、削除アクセスを拒否する
|
#
|
aci: (targetfilter=(objectClass=inetOrgPerson)) (version 3.0; acl
|
"User self deletion - product=ims5.0,class=nda,num=9,version=1";
|
deny (delete) userdn="ldap:///self";)
|
#
|
#-----------------------------------
|
# メールリストのアクセス制御
|
#
|
# 指定したユーザによるメールリストの作成を許可する
|
#
|
aci: (targetattr="*")(targetfilter=(objectClass=inetMailGroupManagement))
|
(version 3.0; acl "Mail list create access - product=ims5.0,class=nda,
|
num=10,version=1"; allow (add)
|
userdn="ldap:///<OrgRoot>??sub?(nsDACapability=mailListCreate)";)
|
#
|
# nsMaxUsers 属性を除き、メールリスト所有者が所有するメールリストへの
|
# 読み取り、検索、書き込み、削除のアクセスを許可する
|
#
|
aci: (targetattr="*")(targetfilter=(objectClass=inetMailGroupManagement))
version 3.0; acl "Mail list owner access - product=ims5.0,class=nda,num=11,
version=1"; allow (read,search,write,delete)
groupdnattr="ldap:///<OrgRoot>?owner";)
|
#
|
#-----------------------------------
|
# ファミリーグループ管理者のアクセス制御
|
#
|
# ファミリーグループの読み取りアクセス権
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetManagedGroup))
|
(version 3.0; acl "Family Group Adm group read & search access -
|
product=ims5.0,class=nda,num=12,version=1"; allow (read,search)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループの description 属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="description")
|
(targetfilter=(objectClass=inetManagedGroup))
|
(version 3.0; acl "Family Group Adm description write access -
|
product=ims5.0,class=nda,num=13,version=1"; allow (write)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループの mnggrpCurrentUsers 属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="mnggrpCurrentUsers")
|
(targetfilter=(objectClass=inetManagedGroup)) (version 3.0; acl "Family
|
Group Adm description write access - product=ims5.0,class=nda,num=14,
|
version=1"; allow (write)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループメンバーの作成、削除、変更に関する許可
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0;acl "Family Group Adm member access - product=ims5.0,
|
class=nda, num=15,version=1"; allow (add,read,search,write,delete)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
# 同一管理グループのファミリー管理者の追加と削除を行うためのアクセス権
|
#
|
aci: (targetattr="uniquemember")
|
(targetfilter=(&(|(objectClass=nsManagedDept)
|
(objectClass=nsManagedDeptAdminGroup))(cn=Family Group
|
Administrators*))) (version 3.0;acl "Family Group Adm admin write
|
access - product=ims5.0,class=nda,num=16,version=1"; allow (write)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?uniquemember";)
|
#
|
# memberof 属性の追加と削除を行うためのアクセス権
|
#
|
aci: (targetattr="memberOf") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0;acl "Family Adm user access -
|
product=ims5.0,class=nda,num=17,version=1"; allow (write)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
#-----------------------------------
|
# ドメイン組織管理者
|
#
|
# ドメイン組織ノードに対するアクセス権
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetdomainorg))(version
|
3.0; acl "Domain Organization Administrator - Dom Org node read & search
|
access - product=ims5.0,class=nda,num=21,version=1"; allow (read,search)
|
groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
#
|
# 選択した属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="description||domOrgMaxUsers")
|
(targetfilter=(objectClass=inetdomainorg)) (version 3.0; acl "Domain
|
Organization Administrator - Dom Org node write access -
|
product=ims5.0,class=nda,num=22,version=1"; allow (write)
|
groupdnattr="ldap:///<OrgRoot>?nsDAModifiableBy";)
|
|
DC ツリールートノード ACI
次に示す ACI は、トップレベル管理者、ドメイン管理者、ドメイン組織管理者、ファミリーグループ管理者、メールリスト所有者、エンドユーザに必要なアクセス権を与えます。必要な場合は、ツリー内の下位のドメインノードやドメイン組織ノードで、追加の ACI を設定します。ネームスペースのセットアップを最初から手動でする場合 (つまり、ネームスペースの作成に iPlanet Messaging Server インストーラを使用しない場合)、DC ツリーノードで ACI を設定する必要があります。
コード例 A-2 DC ツリールートノード ACI
dn: <DCRoot>
changetype: modify
|
add: aci:
|
#-----------------------------------
|
#
|
# iDA ユーザのアクセス制御
|
#
|
# すべてのエントリ内のすべての属性に対する読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "NDAUser access -
product=ims5.0,class=nda,num=1,version=1"; allow (read,search)
userdn="ldap:///uid=NDAUser,ou=config,<OrgRoot>";)
|
#
|
# すべてのドメインエントリの nsNum* 属性に対する書き込みアクセスを許可する
|
#
|
aci: (targetattr="nsNumUsers||nsNumDepts||nsNumMailLists||nsNumDomains")
|
(version 3.0; acl "NDAUser access - product=ims5.0,class=nda,num=2,
|
version=1"; allow (write) userdn="ldap:///uid=NDAUser,
|
ou=config,<OrgRoot>";)
|
#
|
#-----------------------------------
|
# サービス管理者のアクセス制御
|
#
|
# すべての DCROOT ノードに対する読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "SA root node access -
|
product=ims5.0,class=nda,num=3,version =1"; allow (all)
|
groupdn="ldap:///cn=Service Administrators,ou=Groups,<OrgRoot>";)
|
#
|
#-----------------------------------
|
# ドメイン管理者の制御
|
#
|
# ドメインコンポーネントを検索するための dcroot に対するアクセス権
|
#
|
aci: (targetattr="*") (version 3.0; acl "Domain Admin dc root access -
|
product=ims5.0,class=nda,num=4 ,version=1"; allow (read,search)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Domain Administrators*)" or
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Domain Administrators*)";)
|
#
|
# すべてのドメインコンテナノードに対する書き込みと削除のアクセスを拒否する
|
#
|
aci: (targetfilter="objectclass=nsManagedDomain") (version 3.0; acl
|
"Domain Admin domain container access -
|
product=ims5.0,class=nda,num=5,version=1"; deny (delete,write)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Domain Administrators*)" or
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Domain Administrators*)";)
|
#
|
#-----------------------------------
|
# ユーザのアクセス制御
|
#
|
# self に対して、読み取りと検索のアクセスを許可する
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetOrgPerson)) (version
|
3.0; acl "User self search and read - product=ims5.0,class=nda, num=6,
|
version=1"; allow (read,search) userdn="ldap:///self";)
|
#
|
# self に対して、書き込みアクセスを許可する
|
#
|
aci: (targetattr = "*") (version 3.0; acl "Allow self entry modification
|
- product=ims5.0,class=nda,num=7,version=1"; allow (write) userdn =
|
"ldap:///self";)
|
#
|
# uid、ou、owner、nsDAModifiableBy、nsDACapability、
|
# mail、mailAlternateAddress、memberOf、および nsDADomain 属性の
|
# self に対して、書き込みアクセスを拒否する
|
#
|
aci: (targetattr="uid||ou||owner||nsDAModifiableBy||nsDACapability||
|
mail||mailAlternateAddress||memberOf||nsDADomain||inetuserstatus||
|
mailuserstatus||memberOfManagedGroup||mailQuota||mailMsgQuota||
|
inetSubscriberAccountId||dataSource||mailhost||mailAllowedServiceAccess
||pabURI||inetCOS") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0; acl "User self modification - product=ims5.0,class=nda,
|
num=8, version=1"; deny (write) userdn = "ldap:///self" and userdn
|
!= "ldap:///<DCRoot>??sub?(memberOf=cn=Domain Administrators*)" and
|
userdn != "ldap:///<OrgRoot>??sub?(memberOf=cn=Domain Administrators*)"
|
and groupdn != "ldap:///cn=Service Administrators,ou=groups,<OrgRoot>";)
|
#
|
# self に対して、削除アクセスを拒否する
|
#
|
aci: (targetfilter=(objectClass=inetOrgPerson)) (version 3.0; acl "User
|
self deletion - product=ims5.0,class=nda,num=9,version=1"; deny (delete)
userdn="ldap:///self";)
|
#
|
#-----------------------------------
|
# メールリストのアクセス制御
|
#
|
# 指定したユーザによるメールリストの作成を許可する
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetMailGroupManagement))
(version 3.0; acl "Mail list create access - product=ims5.0,class=nda,
num=10, version=1"; allow (add)
userdn="ldap:///<DCRoot>??sub?(nsDACapability=mailListCreate)";)
|
#
|
# nsMaxUsers 属性を除き、メールリスト所有者が所有するメールリストへの
|
# 読み取り、検索、書き込み、削除のアクセスを許可する
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetMailGroupManagement))
(version 3.0; acl "Mail list owner access -
product=ims5.0,class=nda,num=11,version=1"; allow (read,search,write,delete)
groupdnattr="ldap:///<DCRoot>?owner";)
|
#
|
#-----------------------------------
|
# ファミリーグループ管理者のアクセス制御
|
#
|
# ファミリーグループの読み取りアクセス権
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetManagedGroup))
(version 3.0; acl "Family Group Adm group read & search access -
|
product=ims5.0 ,class=nda,num=12,version=1"; allow (read,search)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループの description 属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="description")
|
(targetfilter=(objectClass=inetManagedGroup)) (version 3.0; acl "Family
|
Group Adm description write access -
|
product=ims5.0,class=nda,num=13,version=1"; allow (write)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループの mnggrpCurrentUsers 属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="mnggrpCurrentUsers")
|
(targetfilter=(objectClass=inetManagedGroup)) (version 3.0; acl "Family
|
Group Adm description write access -
|
product=ims5.0,class=nda,num=14,version=1"; allow (write)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# ファミリーグループメンバーの作成、削除、変更に関する許可
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0;acl "Family Group Adm member access -
|
product=ims5.0,class=nda,num=15,version=1"; allow
|
(add,read,search,write,delete)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# 同一管理グループのファミリー管理者の追加と削除を行うためのアクセス権
|
#
|
aci: (targetattr="uniquemember")
|
(targetfilter=(&(|(objectClass=nsManagedDept)(objectClass=nsManagedDept
|
AdminGroup))(cn=Family Group Administrators*))) (version 3.0;acl "Family
|
Group Adm admin write access - product=ims5.0,class=nda,num=16,
|
version=1"; allow (write) userdn="ldap:///<DCRoot>??sub?(memberOf=cn=
|
Family Group Administrators*)" and
|
groupdnattr="ldap:///<DCRoot>?uniquemember";)
|
#
|
# memberof 属性の追加と削除を行うためのアクセス権
|
#
|
aci: (targetattr="memberOf") (targetfilter=(objectClass=nsManagedPerson))
|
(version 3.0;acl "Family Adm user access - product=ims5.0,class=nda,
|
num=17,version=1"; allow (write)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" and groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# ファミリー管理者は、dn を取得するためにドメインを読み取る必要がある
|
#
|
aci: (targetattr="objectclass||preferredmailhost||
|
preferredmailmessagestore") (targetfilter=(objectClass=domain)) (version
|
3.0;acl "Family Adm domain access - product=ims5.0,class=nda,num=18,
|
version=1"; allow (read,search)
|
userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Family Group
|
Administrators*)" or userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Family
|
Group Administrators*)";)
|
#
|
#-----------------------------------
|
# ドメイン組織管理者
|
#
|
# ドメイン組織管理者による
|
# dc ツリーからの属性読み取りを許可する
|
#
|
aci: (targetattr="objectclass||preferredmailhost||
|
preferredmailmessagestore||dc") (targetfilter=(objectClass=domain))
|
(version 3.0;acl "Domain Organization Admin domain access -
|
product=ims5.0,class=nda,num=20,version=1"; allow (read,search)
|
userdn="ldap:///<DCRoot>??sub?(memberOf=cn=Domain Organization
|
Administrators*)" or userdn="ldap:///<OrgRoot>??sub?(memberOf=cn=Domain
|
Organization Administrators*)";)
|
#
|
# ドメイン組織ノードに対するアクセス権
|
#
|
aci: (targetattr="*") (targetfilter=(objectClass=inetdomainorg))(version
|
3.0; acl "Domain Organization Administrator - Dom Org node read & search
|
access - product=ims5.0,class=nda,num=21,version=1"; allow (read,search)
|
groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
#
|
# 選択した属性に対する書き込みアクセス権
|
#
|
aci: (targetattr="description||domOrgMaxUsers")
|
(targetfilter=(objectClass=inetdomainorg)) (version 3.0; acl "Domain
|
Organization Administrator - Dom Org node write access -
|
product=ims5.0,class=nda,num=22,version=1"; allow (write)
|
groupdnattr="ldap:///<DCRoot>?nsDAModifiableBy";)
|
|
ホストドメイン ACI
次に示す ACI は、ドメイン管理者、メールリスト所有者、エンドユーザに必要なアクセス権を与えます。これらの 6 つの ACI は、標準の二重ツリーネームスペースで使用します。5 つの規則は組織ツリーで設定し、1 つの規則は DC ツリーで設定します。1 つの DC ツリーだけを含むネームスペースを使用している場合は、6 つの規則はすべてホストドメインノードで設定します。これらの ACI は、プロビジョニングを行うすべてのドメインで設定する必要があります。
コード例 A-3 ホストドメイン ACI
dn: <OrgNodeDN>
|
changetype: modify
|
add: aci:
|
#
|
#-----------------------------------
|
# ドメイン管理者のアクセス制御
|
#
|
# ドメインのユーザおよびグループのサブツリーに対するフルアクセスを許可する
|
#
|
aci: (targetattr="*") (version 3.0; acl "Domain Admin Domain access -
|
product=ims5.0,class=nda,num=18,version=1"; allow (all)
|
groupdn="ldap:///cn=Domain Administrators,ou=Groups,<OrgNodeDN>";)
|
#
|
#-----------------------------------
|
# エンドユーザのアクセス制御
|
# ユーザによるドメイン内のすべてのユーザの読み取りと検索を許可する
|
#
|
aci: (targetattr!="userPassword")
|
(targetfilter=(|(objectClass=inetOrgPerson)(objectclass=nsManagedDomain
|
))) (version 3.0; acl "User access to all users in domain -
|
product=ims5.0,class=nda,num=19,version=1"; allow (read,search)
|
userdn="ldap:///<OrgNodeDN>??sub?(objectclass=inetOrgPerson)";)
|
#
|
# ユーザによる自己登録制メールリストへのユーザ自身の追加を許可する
|
#
|
aci: (targetattr="uniqueMember")
|
(targetfilter=(&(objectClass=nsManagedMailList)
|
(|(mgmanJoinability=anyone)(mgmanJoinability=all))))
|
(version 3.0; acl "User mail list self subscribe access -
|
product=ims5.0,class=nda,num=20,version=1"; allow (selfwrite)
|
userdn="ldap:///<OrgNodeDN>??sub?(objectclass=inetOrgPerson)";)
|
#
|
# 非表示のマークが付けられたグループメンバーを隠す
|
#
|
aci: (targetattr!="uniqueMember||mgrpRfc822MailMember")
|
(targetfilter=(&(objectClass=inetMailGroupManagement)
|
(mgmanHidden=false))) (version 3.0; acl "User mail list access when
|
visible - product=ims5.0,class=nda,num=21,version=1"; allow
|
(read,search)
|
userdn="ldap:///<OrgNodeDN>??sub?(objectclass=inetOrgPerson)";)
|
#
|
# 非表示のマークが付けられたグループメンバーを隠す
|
#
|
aci: (targetattr="uniqueMember||mgrpRfc822MailMember")
|
(targetfilter=(&(objectClass=inetMailGroupManagement)
|
(|(mgmanMemberVisibility=anyone)(mgmanMemberVisibility=all)))) (version
|
3.0; acl "User mail list member access -
|
product=ims5.0,class=nda,num=22,version=1"; allow (read,search)
|
userdn="ldap:///<OrgNodeDN>??sub?(objectclass=inetOrgPerson)";)
|
|
dn: <DCNodeDN>
|
changetype: modify
|
add: aci:
|
#
|
#-----------------------------------
|
# ドメイン管理者の iCS 属性に対するアクセス権
|
#
|
aci: (targetattr="icsTimeZone||icsMandatorySubscribed||
|
icsMandatoryView||icsDefaultAccess||icsRecurrenceBound||
|
icsRecurrenceDate||icsAnonymousLogin||icsAnonymousAllowWrite||
|
icsAnonymousCalendar||icsAnonymousSet||icsAnonymousDefaultSet||
|
icsSessionTimeout||icsAllowRights||icsExtended||
|
icsExtendedDomainPrefs")(targetfilter=(objectClass=icsCalendarDomain))
|
(version 3.0; acl "Domain Adm calendar access - product=ims5.0,
|
class=nda,num=16,version=1"; allow (all) groupdn="ldap:///cn=Domain
|
Administrators,ou=Groups,<OrgNodeDN>";)
|
|
ドメイン組織 ACI
次に示す ACI は、プロビジョニングを行うすべてのドメイン組織に追加する必要があります。
コード例 A-4 ドメイン組織 ACI
dn: <DomainOrgNodeDN>
|
changetype: modify
|
add: aci:
|
#
|
# ユーザの変更、追加、削除を行う権限
|
#
|
aci: (target="ldap:///uid=*,ou=people,<DomainOrgNodeDN>")
|
(targetattr ="*")
|
(targetfilter=(objectclass=organizationalPerson))
|
(version 3.0; acl "Domain Organization Admin User add,delete,write -
|
product=ims5.0,class=nda,num=201,version=1";
|
allow (add,write,delete)
|
groupdn="ldap:///cn=Domain Organization
|
Administrators,<DomainOrgNodeDN>";)
|
#
|
# メーリングリストの変更、追加、削除を行う権限
|
#
|
aci: (target="ldap:///cn=*,ou=groups,<DomainOrgNodeDN>")
|
(targetattr ="*")
|
(targetfilter=(objectclass=inetMailGroup))
|
(version 3.0; acl "Domain Organization Admin User add,delete,write -
|
product=ims5.0,class=nda,num=202,version=1";
|
allow (add,write,delete)
|
groupdn="ldap:///cn=Domain Organization
|
Administrators,<DomainOrgNodeDN>";)
|
|
前へ
目次
索引
DocHome
次へ