要求フィルタリングポリシーと検索データの非表示ルールの作成と設定
要求フィルタリングポリシーの概要は、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』の「Request Filtering Policies for Connection Handlers」を参照してください。検索データの非表示ルールの概要は、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』の「Search Data Hiding Rules in the Request Filtering Policy」を参照してください。
要求フィルタリングポリシーと検索データの非表示ルールの作成と設定の方法については、次の手順を参照してください。
要求フィルタリングポリシーを作成する
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
-
要求フィルタリングポリシーを作成します。
$ dpconf create-request-filtering-policy policy-name
-
要求フィルタリングポリシーを接続ハンドラと関連付けます。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ request-filtering-policy:policy-name
要求フィルタリングポリシーを設定する
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
-
要求フィルタリングポリシーのプロパティーを表示します。
$ dpconf get-request-filtering-policy-prop -h host -p port policy-name
要求フィルタリングポリシーのデフォルトプロパティーは次のとおりです。
allow-add-operations : true allow-bind-operations : true allow-compare-operations : true allow-delete-operations : true allow-extended-operations : true allow-inequality-search-operations : true allow-modify-operations : true allow-rename-operations : true allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : "" description : - prohibited-comparable-attrs : none prohibited-subtrees : none
-
手順 1 で一覧表示されるプロパティーの 1 つまたは複数を設定することで、要求フィルタリングポリシーを設定します。
$ dpconf set-request-filtering-policy-prop -h host -p port policy-name \ property:value [property:value ...]
手順 1 で一覧表示されるプロパティーを設定することで、次のような要求フィルタリングポリシーの機能を設定します。
-
クライアントに実行が許可されている操作のタイプ
-
クライアントに公開されるサブツリー、またはクライアントから非表示にされるサブツリー
-
検索操作の範囲
-
検索フィルタのタイプ
-
検索操作と比較操作で比較できる属性と比較できない属性のタイプ
-
検索データ非表示ルールを作成する
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
-
要求フィルタリングポリシーに対して、1 つまたは複数の検索データ非表示ルールを作成します。
$ dpconf create-search-data-hiding-rule -h host -p port policy-name rule-name \ [rule-name ...]
-
検索データ非表示ルールのプロパティーを表示します。
$ dpconf get-search-data-hiding-rule-prop policy-name rule-name
検索データ非表示ルールのデフォルトプロパティーは、次のとおりです。
attrs : - rule-action : hide-entry target-attr-value-assertions : - target-dn-regular-expressions : - target-dns : -
-
手順 2 で一覧表示されるプロパティーの 1 つまたは複数を設定することで、検索データ非表示ルールを設定します。
$ dpconf set-search-data-hiding-rule-prop -h host -p port policy-name rule-name \ property:value [property:value ...]
次のいずれかのルールアクションを使用できます。
- hide-entry
-
ターゲットエントリは返されません。
- hide-attributes
-
ターゲットエントリは返されますが、指定した属性は表示されません。
- show-attributes
-
ターゲットエントリは返されますが、指定した属性以外は表示されません。
ルールは次のエントリに適用できます。
- target-dns
-
指定した DN を持つエントリ
- target-dn-regular-expressions
-
指定した DN パターンを持つエントリ
- target-attr-value-assertions
-
指定した属性名と属性値のペアを持つエントリ (attrName#attrValue )
次の設定では、タイプ inetorgperson のエントリを非表示にする検索データ非表示ルールを定義します。
$ dpconf set-search-data-hiding-rule-prop -h host1 -p port my-policy my-rule \ target-attr-value-assertions:objectclass#inetorgperson
要求フィルタリングポリシーと検索データ非表示ルールの例
次の例には、要求フィルタリングポリシーと検索データ非表示ルールが含まれます。要求フィルタリングポリシーを検索データ非表示ルールと組み合わせると、次のようにデータへのアクセスが制限されます。
-
次のタイプの操作は許可されません。追加、削除、拡張、変更、名前変更。
-
アクセスできるのは、ou=people,dc=sun,dc=com サブツリーだけです。
-
検索操作では inetorgperson タイプ以外のエントリが返されます。
例 25–1 要求フィルタリングポリシーの例
allow-add-operations : false allow-bind-operations : true allow-compare-operations : true allow-delete-operations : false allow-extended-operations : false allow-inequality-search-operations : true allow-modify-operations : false allow-rename-operations : false allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : ou=people,dc=sun,dc=com description : myRequestFilteringPolicy prohibited-comparable-attrs : none prohibited-subtrees : none |
例 25–2 検索データ非表示ルールの例
attrs : - rule-action : hide-entry target-attr-value-assertions : objectclass:inetorgperson target-dn-regular-expressions : - target-dns : - |
- © 2010, Oracle Corporation and/or its affiliates