2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
接続ベースのルーターとしてのDirectory Proxy Serverの構成
接続ベースのルーターとしてDirectory Proxy Serverを構成するには:
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
リクエスト・フィルタリング・ポリシーの概要は、Oracle Directory Server Enterprise Editionリファレンスの接続ハンドラのリクエスト・フィルタリング・ポリシーに関する項を参照してください。検索データ非表示ルールの概要は、Oracle Directory Server Enterprise Editionリファレンスのリクエスト・フィルタリング・ポリシーの検索データ非表示ルールに関する項を参照してください。
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールを作成して構成する方法の詳細は、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-request-filtering-policy policy-name
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ request-filtering-policy:policy-name
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-request-filtering-policy-prop -h host -p port policy-name
リクエスト・フィルタリング・ポリシーのデフォルトのプロパティは、次のとおりです。
allow-add-operations : true allow-bind-operations : true allow-compare-operations : true allow-delete-operations : true allow-extended-operations : true allow-inequality-search-operations : true allow-modify-operations : true allow-rename-operations : true allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : "" description : - prohibited-comparable-attrs : none prohibited-subtrees : none
$ dpconf set-request-filtering-policy-prop -h host -p port policy-name \ property:value [property:value ...]
手順1でリストされたプロパティを設定して、リクエスト・フィルタリング・ポリシーの次の機能を構成します。
クライアントが実行できる操作のタイプ
クライアントに公開するまたはクライアントに対して非表示にするサブツリー
検索操作の範囲
検索フィルタのタイプ
検索操作および比較操作で比較できるまたは比較できない属性のタイプ
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-search-data-hiding-rule -h host -p port policy-name rule-name \ [rule-name ...]
$ dpconf get-search-data-hiding-rule-prop policy-name rule-name
検索データ非表示ルールのデフォルトのプロパティは、次のとおりです。
attrs : none rule-action : hide-entry target-attr-value-assertions : none target-dn-regular-expressions : none target-dns : none
$ dpconf set-search-data-hiding-rule-prop -h host -p port policy-name rule-name \ property:value [property:value ...]
次のルール・アクションの1つを使用できます。
ターゲット・エントリは返されません。
ターゲット・エントリは返されますが、指定された属性はフィルタされて除去されます。
ターゲット・エントリは返されますが、指定されていない属性はフィルタされて除去されます。
このルールは、次のエントリに適用できます。
指定されたDNを持つエントリ
指定されたDNパターンを持つエントリ
指定された属性名と属性値のペアを持つエントリ(attrName#attrValue)
次の構成は、タイプinetorgpersonのエントリを非表示にする検索データ非表示ルールを定義します。
$ dpconf set-search-data-hiding-rule-prop -h host1 -p port my-policy my-rule \ target-attr-value-assertions:objectclass#inetorgperson
次の例には、リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールが含まれています。リクエスト・フィルタリング・ポリシーと検索データ非表示ルールを組み合せると、データへのアクセスは次のように制限されます。
次のタイプの操作は許可されません。追加、削除、拡張、変更および名前変更。
ou=people,dc=sun,dc=comサブツリーのみにアクセスできます。
inetorgpersonタイプ以外のエントリは、検索操作によって返されます。
例25-1 リクエスト・フィルタリング・ポリシーの例
allow-add-operations : false allow-bind-operations : true allow-compare-operations : true allow-delete-operations : false allow-extended-operations : false allow-inequality-search-operations : true allow-modify-operations : false allow-rename-operations : false allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : ou=people,dc=sun,dc=com description : myRequestFilteringPolicy prohibited-comparable-attrs : none prohibited-subtrees : none
例25-2 検索データ非表示ルールの例
attrs : - rule-action : hide-entry target-attr-value-assertions : objectclass:inetorgperson target-dn-regular-expressions : - target-dns : -