ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Internet Directory管理者ガイド
11g リリース1(11.1.1)
B55919-03
  目次へ移動
目次		 索引へ移動
索引
前
 		 次
  

38 DITマスキングの管理

DITマスキングは、Oracle Internet Directoryサーバー・インスタンスで公開されるDITコンテンツの制限です。マスキングによって、スーパーユーザーcn=orcladmin以外のすべてのユーザーのアクセスが制限されます。マスキングは、通常、(ユーザーが接続しているOracle Internet Directoryサーバーのインタンスに基づいて)一部のユーザーにDITの特定の部分が表示されないようにするために使用します。異なるDITを表示する一般的な使用例として、テストと本番、内部ユーザーと外部ユーザーなどがあります。

Oracle Virtual Directoryを使用してユーザーのDIT表示を制限することもできますが、パフォーマンスおよび管理のオーバーヘッドはDITマスキングの方が遥かに小さくなります。

38.1 マスキングの構成

デフォルトでは、マスキングは構成されません。マスキングを構成するには、インスタンス固有の構成エントリの次の構成属性を使用します。

表38-1 構成属性のマスキング

属性 説明

orclMaskRealm

インスタンスで公開されるDITサブツリーが含まれます。構成された識別名およびその子は、インスタンス内で可視になります。DIT内の他のエントリは、すべてのLDAP操作に対してマスクされます(非表示になります)。

orclMaskFilter

インスタンスで公開されるエントリがフィルタされます。フィルタ基準に一致するエントリは公開されます。他のエントリは、すべてのLDAP操作に対して非表示になります。

これらの属性は、インスタンス固有の構成エントリの他の属性と同じ方法で変更します。第9.4.1項「ldapmodifyを使用したシステム構成属性の設定」を参照してください。

38.2 マスキングの例

マスキングは、ディレクトリに存在するエントリを管理者が選択して公開する場合に有用です。次に、使用例を示します。

38.2.1 コンテナ名によるアクセス制限

次の階層を持つDIT設定について検討します。

cn=internal,o=oracle
cn=external,o=oracle
cn=public,o=oracle

internalコンテナには組織内部のエントリが含まれるため、アクセスを制限する必要があります。externalおよびpublicコンテナには、それぞれ外部ユーザーについてのデータ、およびすべてのユーザーがアクセスできる公開情報が含まれます。管理者は、組織のファイアウォールの外側ではexternalおよびpublicデータのみを利用できるようにする必要があります。これは、マスキングを使用して達成できます。ファイアウォールを介して公開されるポート上で実行するOracle Internet Directoryインスタンスを作成します(たとえば、oid2)。このポートに接続するアプリケーションおよびユーザーに、アクセス可能なコンテンツのみが表示されるようにするには、次のLDIFファイルを使用して、ldapmodifycn=oid2にマスキング・レルムを作成します。

dn: cn=oid2,cn=osdldapd,cn=subconfigsubentry
changetype: modify
add: orclmaskrealm
orclmaskrealm: cn=external,o=oracle
orclmaskrealm: cn=public,o=oracle

これにより、このインスタンスからは構成済コンテナpublicおよびexternal内のエントリのみが表示されるようになります。このインスタンスに接続するアプリケーションおよびユーザーは、Internalコンテナおよびそのエントリを表示することはできません。

38.2.2 エントリ・データによるアクセス制限

別の使用例として、エントリに格納されているデータに基づいてエントリを制限する場合があります。ある組織に、従業員、契約社員および派遣社員に関するデータが存在しているとします。電子メール・クライアントなどのユーザー参照アプリケーションは、ディレクトリ・サーバー上のデータを参照して電子メール・アドレスを探します。管理者は、電子メール・クライアントからアクセスできるインスタンス(たとえば、cn=oid2)内で、派遣社員の情報を非表示にし、従業員および契約社員のみが公開されるようにすることができます。これは、次のLDIFファイルを使用し、ldapmodifyでマスキング・フィルタを構成することにより達成できます。

dn: cn=oid2,cn=osdldapd,cn=subconfigsubentry
changetype: modify
add: orclmaskfilter
orclmaskfilter: (usertype=employee)
orclmaskfilter: (usertype=contract)

これにより、usertype=employeeまたはusertype=contractのエントリが公開され、他のエントリは公開されなくなります。

  前
 		 次
  目次へ移動
目次		 索引へ移動
索引