Sun Java System Directory Server Enterprise Edition 6.2 管理ガイド

要求フィルタリングポリシーと検索データの非表示ルールの作成と設定

要求フィルタリングポリシーの概要は、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Request Filtering Policies for Connection Handlers」を参照してください。検索データの非表示ルールの概要は、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Search Data Hiding Rules in the Request Filtering Policy」を参照してください。

要求フィルタリングポリシーと検索データの非表示ルールの作成と設定の方法については、次の手順を参照してください。

Procedure要求フィルタリングポリシーを作成する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

  1. 要求フィルタリングポリシーを作成します。


    $ dpconf create-request-filtering-policy policy-name
    
  2. 要求フィルタリングポリシーを接続ハンドラと関連付けます。


    $ dpconf set-connection-handler-prop -h host -p port connection-handler-name \
     request-filtering-policy:policy-name
    

Procedure要求フィルタリングポリシーを設定する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

  1. 要求フィルタリングポリシーのプロパティーを表示します。


    $ dpconf get-request-filtering-policy-prop -h host -p port policy-name
    

    要求フィルタリングポリシーのデフォルトプロパティーは次のとおりです。


    allow-add-operations                :  true
    allow-bind-operations               :  true
    allow-compare-operations            :  true
    allow-delete-operations             :  true
    allow-extended-operations           :  true
    allow-inequality-search-operations  :  true
    allow-modify-operations             :  true
    allow-rename-operations             :  true
    allow-search-operations             :  true
    allowed-comparable-attrs            :  all
    allowed-search-scopes               :  base
    allowed-search-scopes               :  one-level
    allowed-search-scopes               :  subtree
    allowed-subtrees                    :  ""
    description                         :  -
    prohibited-comparable-attrs         :  none
    prohibited-subtrees                 :  none
  2. 手順 1 で一覧表示されるプロパティーの 1 つまたは複数を設定することで、要求フィルタリングポリシーを設定します。


    $ dpconf set-request-filtering-policy-prop -h host -p port policy-name \
      property:value [property:value ...]

    手順 1 で一覧表示されるプロパティーを設定することで、次のような要求フィルタリングポリシーの機能を設定します。

    • クライアントに実行が許可されている操作のタイプ

    • クライアントに公開されるサブツリー、またはクライアントから非表示にされるサブツリー

    • 検索操作の範囲

    • 検索フィルタのタイプ

    • 検索操作と比較操作で比較できる属性と比較できない属性のタイプ

Procedure検索データ非表示ルールを作成する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

  1. 要求フィルタリングポリシーに対して、1 つまたは複数の検索データ非表示ルールを作成します。


    $ dpconf create-search-data-hiding-rule -h host -p port policy-name rule-name \
     [rule-name ...]
  2. 検索データ非表示ルールのプロパティーを表示します。


    $ dpconf get-search-data-hiding-rule-prop policy-name rule-name
    

    検索データ非表示ルールのデフォルトプロパティーは、次のとおりです。


    attrs                              :  -
    rule-action                        :  hide-entry
    target-attr-value-assertions       :  -
    target-dn-regular-expressions      :  -
    target-dns                         :  -
  3. 手順 2 で一覧表示されるプロパティーの 1 つまたは複数を設定することで、検索データ非表示ルールを設定します。


    $ dpconf set-search-data-hiding-rule-prop -h host -p port policy-name rule-name \
      property:value [property:value ...]

    次のいずれかのルールアクションを使用できます。

    hide-entry

    ターゲットエントリは返されません。

    hide-attributes

    ターゲットエントリは返されますが、指定した属性は表示されません。

    show-attributes

    ターゲットエントリは返されますが、指定した属性以外は表示されません。

    ルールは次のエントリに適用できます。

    target-dns

    指定した DN を持つエントリ

    target-dn-regular-expressions

    指定した DN パターンを持つエントリ

    target-attr-value-assertions

    指定した属性名と属性値のペアを持つエントリ (attrName#attrValue )

    次の設定では、タイプ inetorgperson のエントリを非表示にする検索データ非表示ルールを定義します。


    $ dpconf set-search-data-hiding-rule-prop -h host1 -p port my-policy my-rule \
      target-attr-value-assertions:objectclass#inetorgperson

要求フィルタリングポリシーと検索データ非表示ルールの例

次の例には、要求フィルタリングポリシーと検索データ非表示ルールが含まれます。要求フィルタリングポリシーを検索データ非表示ルールと組み合わせると、次のようにデータへのアクセスが制限されます。


例 25–1 要求フィルタリングポリシーの例


allow-add-operations                :  false
allow-bind-operations               :  true
allow-compare-operations            :  true
allow-delete-operations             :  false
allow-extended-operations           :  false
allow-inequality-search-operations  :  true
allow-modify-operations             :  false
allow-rename-operations             :  false
allow-search-operations             :  true
allowed-comparable-attrs            :  all
allowed-search-scopes               :  base
allowed-search-scopes               :  one-level
allowed-search-scopes               :  subtree
allowed-subtrees                    :  ou=people,dc=sun,dc=com
description                         :  myRequestFilteringPolicy
prohibited-comparable-attrs         :  none
prohibited-subtrees                 :  none


例 25–2 検索データ非表示ルールの例


attrs                              :  -
rule-action                        :  hide-entry
target-attr-value-assertions       :  objectclass:inetorgperson
target-dn-regular-expressions      :  -
target-dns                         :  -