リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成および構成

リクエスト・フィルタリング・ポリシーの概要は、Oracle Directory Server Enterprise Editionリファレンスの接続ハンドラのリクエスト・フィルタリング・ポリシーに関する項を参照してください。検索データ非表示ルールの概要は、Oracle Directory Server Enterprise Editionリファレンスのリクエスト・フィルタリング・ポリシーの検索データ非表示ルールに関する項を参照してください。

リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールを作成して構成する方法の詳細は、次の手順を参照してください。

リクエスト・フィルタリング・ポリシーを作成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リクエスト・フィルタリング・ポリシーを作成します。

   $ dpconf create-request-filtering-policy policy-name

2. リクエスト・フィルタリング・ポリシーを接続ハンドラと関連付けます。

   $ dpconf set-connection-handler-prop -h host -p port connection-handler-name \
    request-filtering-policy:policy-name

リクエスト・フィルタリング・ポリシーを構成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リクエスト・フィルタリング・ポリシーのプロパティを表示します。

   $ dpconf get-request-filtering-policy-prop -h host -p port policy-name

   リクエスト・フィルタリング・ポリシーのデフォルトのプロパティは、次のとおりです。

   allow-add-operations                :  true
   allow-bind-operations               :  true
   allow-compare-operations            :  true
   allow-delete-operations             :  true
   allow-extended-operations           :  true
   allow-inequality-search-operations  :  true
   allow-modify-operations             :  true
   allow-rename-operations             :  true
   allow-search-operations             :  true
   allowed-comparable-attrs            :  all
   allowed-search-scopes               :  base
   allowed-search-scopes               :  one-level
   allowed-search-scopes               :  subtree
   allowed-subtrees                    :  ""
   description                         :  -
   prohibited-comparable-attrs         :  none
   prohibited-subtrees                 :  none

2. 手順1でリストされたプロパティを1つ以上設定して、リクエスト・フィルタリング・ポリシーを構成します。

   $ dpconf set-request-filtering-policy-prop -h host -p port policy-name \
     property:value [property:value ...]

   手順1でリストされたプロパティを設定して、リクエスト・フィルタリング・ポリシーの次の機能を構成します。

   • クライアントが実行できる操作のタイプ

   • クライアントに公開するまたはクライアントに対して非表示にするサブツリー

   • 検索操作の範囲

   • 検索フィルタのタイプ

   • 検索操作および比較操作で比較できるまたは比較できない属性のタイプ

検索データ非表示ルールを作成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リクエスト・フィルタリング・ポリシーの検索データ非表示ルールを1つ以上作成します。

   $ dpconf create-search-data-hiding-rule -h host -p port policy-name rule-name \
    [rule-name ...]

2. 検索データ非表示ルールのプロパティを表示します。

   $ dpconf get-search-data-hiding-rule-prop policy-name rule-name

   検索データ非表示ルールのデフォルトのプロパティは、次のとおりです。

   attrs                              :  none
   rule-action                        :  hide-entry
   target-attr-value-assertions       :  none
   target-dn-regular-expressions      :  none
   target-dns                         :  none

3. 手順2でリストされたプロパティを1つ以上設定して、検索データ非表示ルールを構成します。

   $ dpconf set-search-data-hiding-rule-prop -h host -p port policy-name rule-name \
     property:value [property:value ...]

   次のルール・アクションの1つを使用できます。

   hide-entry

   ターゲット・エントリは返されません。

   hide-attributes

   ターゲット・エントリは返されますが、指定された属性はフィルタされて除去されます。

   show-attributes

   ターゲット・エントリは返されますが、指定されていない属性はフィルタされて除去されます。

   このルールは、次のエントリに適用できます。

   target-dns

   指定されたDNを持つエントリ

   target-dn-regular-expressions

   指定されたDNパターンを持つエントリ

   target-attr-value-assertions

   指定された属性名と属性値のペアを持つエントリ(attrName#attrValue)

   次の構成は、タイプinetorgpersonのエントリを非表示にする検索データ非表示ルールを定義します。

   $ dpconf set-search-data-hiding-rule-prop -h host1 -p port my-policy my-rule \
     target-attr-value-assertions:objectclass#inetorgperson

リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの例

次の例には、リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールが含まれています。リクエスト・フィルタリング・ポリシーと検索データ非表示ルールを組み合せると、データへのアクセスは次のように制限されます。

• 次のタイプの操作は許可されません。追加、削除、拡張、変更および名前変更。

• ou=people,dc=sun,dc=comサブツリーのみにアクセスできます。

• inetorgpersonタイプ以外のエントリは、検索操作によって返されます。

例25-1 リクエスト・フィルタリング・ポリシーの例

allow-add-operations                :  false
allow-bind-operations               :  true
allow-compare-operations            :  true
allow-delete-operations             :  false
allow-extended-operations           :  false
allow-inequality-search-operations  :  true
allow-modify-operations             :  false
allow-rename-operations             :  false
allow-search-operations             :  true
allowed-comparable-attrs            :  all
allowed-search-scopes               :  base
allowed-search-scopes               :  one-level
allowed-search-scopes               :  subtree
allowed-subtrees                    :  ou=people,dc=sun,dc=com
description                         :  myRequestFilteringPolicy
prohibited-comparable-attrs         :  none
prohibited-subtrees                 :  none

例25-2 検索データ非表示ルールの例

attrs                              :  -
rule-action                        :  hide-entry
target-attr-value-assertions       :  objectclass:inetorgperson
target-dn-regular-expressions      :  -
target-dns                         :  -