가상 데이터 보기에서 ACI는 LDAP 디렉토리 또는 LDIF 파일에 저장할 수 있습니다. 가상 ACI가 작동하는 방법에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.0 Reference의 Access Control On Virtual Data Views를 참조하십시오.
디렉토리 프록시 서버 인스턴스를 만드는 경우 가상 액세스 제어에 대해 다음 기본 구성이 정의됩니다.
ACI가 기본적으로 저장되는 LDIF 파일( instance-path/config/access_controls.ldif)
이름이 가상 액세스 제어인 LDIF 데이터 보기
이 데이터 보기를 사용하여 디렉토리 프록시 서버에서 LDIF 파일에 저장된 ACI에 액세스할 수 있습니다.
앞에 설명된 기본 ACI 구성을 사용하지 않으려면 다른 저장소를 정의할 수 있습니다.
DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.
가상 ACI가 저장되는 저장소에 대한 데이터 보기를 만듭니다.
ACI가 LDAP 디렉토리에 저장되는 경우 LDAP 데이터 보기 만들기 및 구성에 설명된 것처럼 LDAP 데이터 소스 및 LDAP 데이터 보기를 만듭니다.
ACI가 LDIF 파일에 저장되는 경우 LDIF 데이터 보기 만들기 및 구성에 설명된 것처럼 LDIF 데이터 보기를 만듭니다.
이전 단계에서 만든 데이터 보기의 이름을 ACI 데이터 보기로 지정합니다.
$ dpconf set-virtual-aci-prop -h host -p port aci-data-view:data-view-name
ACI 저장소가 LDAP 디렉토리인 경우 ACI 데이터 보기를 액세스하는 데 필요한 자격 증명을 정의합니다.
$ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-dn:bind-dn $ dpconf set-virtual-aci-prop -h host -p port aci-manager-bind-pwd-file:filename
사용하는 ACI 저장소에 상관없이 가상 액세스 제어를 구성해야 합니다.
프록시 관리자만 ACI 데이터 보기를 통해 ACI 풀을 만들고 ACI를 직접 관리할 수 있습니다. ACI 저장소가 LDAP 디렉토리인 경우 aciSource 객체 클래스 및 dpsaci 속성을 포함하도록 해당 디렉토리의 스키마를 수정해야 합니다. 스키마를 사용자 정의하는 방법에 대한 자세한 내용은 디렉토리 서버 스키마 확장을 참조하십시오.
DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.
ACI 저장소에서 ACI 풀을 만들고 전역 ACI를 설정합니다.
전역 ACI에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.0 Reference의 Global ACIs를 참조하십시오. 전역 ACI를 설정하려면 ACI 데이터 보기의 보기 기준 아래에 aciSource 항목을 추가합니다. 예를 들면 다음과 같습니다.
% ldapmodify -p port -D "cn=proxy manager" -w - dn: cn=data-source-name,cn=virtual access controls changetype: add objectclass: aciSource dpsaci: (targetattr="*") (target = "ldap:///ou=people,o=virtual") (version 3.0; \ acl "perm1"; allow(all) groupdn="ldap:///cn=virtualGroup1,o=groups,o=virtual";) cn: data-source-name |
이 ACI 풀을 사용하도록 하나 이상의 연결 처리기를 구성합니다.
% dpconf set-connection-handler-prop -h host -p port connection-handler aci-source:data-source-name |
필요한 ACI를 데이터에 추가합니다.
이렇게 하려면 ACI를 포함하는 가상 항목을 만듭니다. 예를 들면 다음과 같습니다.
% ldapmodify -p port -D "cn=virtual application,ou=application users,dc=com" -w - dn: ou=people,o=virtual changetype: modify add: dpsaci dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(all) userdn ="ldap:///self";) dpsaci: (targetattr="*")(version 3.0; acl "perm1"; allow(search, read, compare) \ userdn ="ldap:///anyone";) |
적절한 액세스 권한을 가진 모든 사용자가 데이터 보기를 통해 가상 ACI를 추가하고 검색할 수 있습니다.