| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
前 |
次 |
Directory Proxy Serverへのすべての着信接続は、基準セットに従って接続ハンドラに分類されます。接続ハンドラは、リソース制限を定義し、接続に適用するフィルタおよび接続に公開されるデータ・ビューを要求します。
この章の内容は、次のとおりです。
Directory Proxy Serverのインスタンスでは、多数の接続ハンドラを使用できます。クライアントがDirectory Proxy Serverに接続すると、プロキシは、接続の属性が接続ハンドラのいずれかの基準に一致するかどうかを評価します。一致が見つかると、接続はその接続ハンドラに分類されます。その接続に定義されているすべてのポリシーがその接続に適用されます。この接続を使用して実行される操作は、すべてのデータ・ビューまたは接続ハンドラによって定義されているデータ・ビューのリストに公開されます。
接続は、接続ハンドラに分類された後、Directory Proxy Serverによって自動的に別の接続ハンドラに再分類できます。たとえば、クライアントが匿名で接続した場合、接続は、匿名の接続用に構成されている接続ハンドラに割り当てられます。クライアントが後で同じ接続上にバインドDNを提供した場合、その接続を別の接続ハンドラに再割当てすることができます。同様に、セキュアでないLDAP接続は、はじめにセキュアでない接続の接続ハンドラに分類されます。クライアントがStartTLSを使用して接続をセキュアなモードにプロモートする場合、その接続は自動的にセキュアな接続の接続ハンドラに再分類されます。
接続は、接続ハンドラの優先度の順番で接続ハンドラに対して評価されます。優先度1は、優先度が最高の接続ハンドラです。この接続は、一致する最初の接続ハンドラに分類されます。最も特殊な基準を持つ接続ハンドラは、あまり特殊でない条件またはより一般的な基準を持つ接続ハンドラよりも優先度が高くなります。たとえば、バインドDNを指定する接続ハンドラは、単純なバインドを指定する接続ハンドラよりも優先度が高くなります。
接続が、構成されているいずれの接続ハンドラの基準にも一致しない場合、その接続はデフォルトの接続ハンドラに割り当てられてます。デフォルトの接続ハンドラの基準は変更できません。また、デフォルトの接続ハンドラを無効化したり削除することもできません。ただし、デフォルトの接続ハンドラのポリシーおよびデータ・ビューは変更できます。
デフォルトの接続ハンドラは、最も優先度が低い接続ハンドラです。優先度のない新しい接続ハンドラが作成されると、新しい接続ハンドラには、デフォルトの接続ハンドラよりも高い優先度が設定されます。2つの接続ハンドラの優先度が同じである場合、接続が評価される順番は指定されません。
接続ハンドラの基準式は、異なる種類の基準の間の論理ANDおよび同じ種類の基準の間の論理ORです。たとえば、クライアントIPアドレスに基準が1つ指定されていると同時に、クライアント・ドメイン名に基準が1つ設定されている場合、どちらの基準も満たしている必要があります。ただし、クライアントIPアドレスに2つの基準が設定されている場合、両方ではなくいずれかの基準を満たしている必要があります。
次のリストは、接続を接続ハンドラに分類するときに使用される基準をまとめたものです。基準の構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』の接続ハンドラの作成、構成および削除に関する説明を参照してください。
クライアントIPアドレスおよびマスク。IPv4またはIPv6アドレス・マスクのセットです。接続が接続ハンドラによって受け入れられるには、クライアント接続のIPアドレスが、少なくとも1つのマスクと一致する必要があります。
IPアドレスは、次の形式のいずれかで指定できます。
ドット区切りの10進数形式のIPアドレス。たとえば、129.153.129.14です。
IPアドレスとビット数(ネットワーク番号/マスク・ビットの形式)。たとえば、129.153.129.0/24です。
IPアドレスと4つの数値(ドット区切りの4つの10進数がペアになった形式)。たとえば、129.153.129.0/255.255.255.128です。
ALL(すべてのアドレス)は、優先度の高いその他のグループとして設定されていないクライアントすべてをキャッチします。
0.0.0.0。このアドレスは、最初のメンバーシップを考慮しないグループのアドレスです。たとえば、最初のバインド後の、クライアントの切換え先となるグループです。
ローカル・ホストのIPアドレス。IPアドレス127.0.0.1は、Directory Proxy Serverと同じコンピュータ上で実行されているクライアントのIPアドレスです。
クライアント・ドメイン名。ドメイン名のセットです。接続が接続ハンドラによって受け入れられるには、クライアントのネットワーク・ドメインが、少なくとも1つのサフィックスと一致する必要があります。
クライアントのドメイン名をフィルタできるためには、Directory Proxy Serverで、受信IPアドレスを完全修飾ドメイン名に変換できる必要があります。ネーミング・サービスがドメイン名のないホスト名を返す場合、Directory Proxy Serverは、クライアントのドメイン名をフィルタできません。
Directory Proxy Serverは、ドメインのサフィックスを想定していないため、完全修飾ドメイン名を指定する必要があります。たとえば、.oracle.comのようにドメイン名のサフィックスがピリオドで始まっている場合、そのサフィックスで終わるドメイン名を持つすべてのホストが一致します。
ドメイン名は、次の形式で指定できます。
完全名(例: box.eng.oracle.com)。
サフィックス名(例: .eng.oracle.com)。サフィックス名を使用してクライアントを特定する場合、DNSがDNS問合せに対して完全修飾名を返すように設定されているかを確認してください。
ローカル・ホストの完全修飾名。これは、Directory Proxy Serverと同じコンピュータ上で実行されているクライアントのための基準です。
バインドDN。クライアントのバインドDNで一致する必要のある正規表現です。
たとえば、正規表現: uid=(.*),dc=example,dc=comは、接続ハンドラのバインドDN基準として使用できます。uid=user1,dc=example,dc=comのようにuidを使用してバインドするクライアントがこの基準に一致し、接続ハンドラに割り当てることができます。ou=accounts,dc=example,dc=comのように別のDNでバインドするクライアントは、この基準に一致せず、接続ハンドラに割り当てられません。
グループDN Directory Proxy Serverは、バインドDNによって表されるユーザー・エントリが、グループDNの基準属性で指定されている任意のグループのメンバーである場合にのみ、接続ハンドラを接続に割り当てます。Directory Proxy Serverは、接続ハンドラにアタッチされているデータ・ビューのみのグループおよびメンバーを検索します。グループDNの基準属性では、正規表現を使用できず、適切なグループDNのみを受け入れます。
LDAP検索フィルタ。バインドされたクライアントのエントリが一致する必要のある検索フィルタ。
たとえば、フィルタ: uid>=1000は、接続ハンドラの基準として使用できます。フィルタに一致するuidを使用してバインドされたクライアントを接続ハンドラに割り当てることができます。
認証方式。接続が接続ハンドラによって受け入れられるためにクライアント・エントリに一致する必要がある認証方式。
認証方式は、次のいずれかを使用できます。
単純
SASL/外部
匿名
IPポート。IPポート番号のセットです。接続が接続ハンドラによって受け入れられるためには、クライアント接続が指定ポートのいずれかを使用して確立される必要があります。
SSL接続。クライアント接続が、接続ハンドラによって受け入れられるためにSSLを使用する必要があるかを示すフラグ。
接続が接続ハンドラに割り当てられると、接続に対するリクエストは、その接続ハンドラに構成されているデータ・ビューのリストに公開されます。接続ハンドラのデータ・ビューのリストには、ゼロ、1つまたは複数のデータ・ビューを含めることができます。
データ・ビューのリストが空の場合、接続に対するリクエストはいずれのデータ・ビューにも配布されません。接続を使用しているアプリケーションは、いずれのデータにもアクセスできず、No such Objectエラーが返されます。
データ・ビューのリストに複数のデータ・ビューが含まれている場合、接続に対するリクエストは、リクエストのターゲットDNに最も具体的に対応しているデータ・ビューに配布されます。たとえば、図20-1で、connection-handler-1での接続に対するリクエストは、data-view-2、data-view-3またはdata-view-4に配布することができます。ただし、検索リクエストにou=people,dc=example,dc=comというターゲットDNが含まれている場合、リクエストは、data-view-3またはdata-view-4のいずれかに配布されます。
クライアント接続および選択したデータ・ビューの間にアフィニティを定義して、その接続に対するリクエストに応答できます。この機能をデータ・ビュー・アフィニティと呼びます。データ・ビュー・アフィニティを有効化すると、クライアント接続上の連続リクエストは、その接続に対する最初のリクエストに使用されたデータ・ビューに対して排他的に公開されます。
データ・ビュー・アフィニティは、有効化されると、他のタイプのルーティングよりも優先されます。たとえば、図20-1で、ou=computer,dc=example,dc=comというターゲットDNを使用した検索リクエストはdata-view-2に公開されます。そのクライアント接続に対するすべての後続のリクエストはdata-view-2に排他的に公開されます。そのクライアント接続に対する後続のリクエストにou=people,dc=example,dc=comというターゲットDNが含まれている場合、リクエストは、ou=people,dc=example,dc=comのデータ・ビューではなく、ou=computer,dc=example,dc=comのデータ・ビューに公開されます。
データ・ビュー・アフィニティを構成する方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のデータ・ビューのアフィニティを構成する方法に関する説明を参照してください。
リソース制限ポリシーは、Directory Proxy Serverが特定の接続ハンドラに対して処理できる最大のリソースを定義します。この種類の接続ハンドラのポリシーを使用すると、接続、リクエストおよびリフェラルに割り当てられるリソースを制限することができます。
接続ハンドラには、ゼロまたは1つのリソース制限ポリシーを設定することができます。リソース制限ポリシーが定義されていない場合、接続、リクエストおよびリフェラルにはリソース制限ポリシーが適用されません。リソース制限ポリシーの構成方法の詳細およびリソース制限ポリシーの例は、『Oracle Directory Server Enterprise Edition管理者ガイド』のリソース制限ポリシーの作成および構成に関する説明を参照してください。
次のリストは、構成できるリソース制限をまとめたものです。
接続
最大接続数。
単一のクライアントからの同時最大接続数。
1接続当たりの最大操作数。クライアントによる1接続当たりの操作が最大数を超過した場合、接続はDirectory Proxy Serverによって閉じられます。
1接続当たりの最大同時操作数。
1接続当たりの最大同時接続数が1である場合、クライアントは同期操作を実行する必要があります。操作中止のリクエストを除き、同時に操作された他のリクエストは失敗し、「サーバー・ビジー」というエラーが表示されます。
検索
検索操作結果の最大許容サイズ
検索操作の最大許容期間
検索フィルタで許可される部分文字列の最小長
カスタマイズされた検索制限(カスタマイズされた検索制限に関する説明を参照)
リフェラル
リフェラルをたどるときの最大ホップ数
リフェラルをたどる際に適用されるバインド・ポリシー
設定されている場合はパスワードを使用し、ない場合は匿名でリフェラルをたどります。
常に匿名としてリフェラルをたどります。
サーバーからリフェラルが返される際に適用されるポリシー
* リフェラルに従う
* リフェラルをクライアントに転送する
* リフェラルを破棄する
リソース制限ポリシーの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のリソース制限ポリシーの作成および構成に関する説明を参照してください。
カスタマイズされた検索操作の制限は、検索ベースおよび検索範囲に基づいて定義できます。検索のターゲットDNがリストで指定されていて、検索の範囲が1レベルまたはサブツリーである場合は、検索結果の最大サイズを構成できます。
カスタム検索制限は、特定のリソース制限ポリシーに定義されます。リソース制限ポリシーを削除すると、そのポリシーに定義されているカスタム検索制限も削除されます。カスタム検索制限が指定されていない場合、標準の検索サイズ制限が適用されます。
リクエスト・フィルタリング・ポリシーは、クライアントのデータへのアクセスを制御します。接続ハンドラは、ゼロまたは1つのリクエスト・フィルタリング・ポリシーを参照できます。
このタイプの接続ハンドラ・ポリシーを使用すると、クライアント・アクセスの次のような点を定義することができます。
クライアントが実行を許可される操作または禁止される操作のタイプ。
追加、バインド、比較、削除、拡張操作、変更、DN変更、検索および不等フィルタに基づく検索の各操作を許可または禁止することができます。
検索フィルタおよび比較操作で使用を許可または禁止される属性。
すべての属性を検索フィルタおよび比較操作で許可できるか、または属性のリストを許可または禁止できます。
検索操作の範囲。
範囲は、ベースDN、ベースDNの1つ下のレベルまたはベースDNの下のサブツリー全体のいずれかを指定できます。
クライアントによるアクセスが許可または禁止されるサブツリー。
詳細は、「リクエスト・フィルタリング・ポリシーのサブツリー」を参照してください。
検索操作でアクセスできるエントリおよび検索操作で返すことができるデータ。
詳細は、「リクエスト・フィルタリング・ポリシーの検索データ非表示ルール」を参照してください。
リクエスト・フィルタリング・ポリシーを構成する方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のリクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成と構成に関する説明を参照してください。
リクエスト・フィルタリング・ポリシーは、1つ以上の許可されたサブツリーおよびゼロ以上の禁止されたサブツリーで構成されます。サブツリーは、クライアントがアクセスできるデータ・ビューの部分を特定します。
許可されたサブツリーは、最小ベースDNで指定されます。クライアントは、最小ベースDNの下のエントリの操作の実行を許可されます。デフォルトでは、最小ベースDNは、ルートDNです。
クライアントが、最小ベースDNより優先されるDNをターゲットとしている検索操作をリクエストする場合、Directory Proxy ServerはDNをリライトして最小ベースDNをターゲットとします。クライアントが、最小ベースDNより優先されるDNをターゲットとするその他の操作を実行すると、操作は拒否されます。
禁止されたサブツリーは、クライアントがアクセスできない許可されたサブツリーのブランチです。禁止されたサブツリーのベースDNは、許可されたサブツリーの最小ベースDNの下位にある必要があります。クライアントが、禁止されたサブツリーをターゲットとする操作を実行すると、操作は拒否されます。
検索操作の結果をクライアントに返す方法を決定するルールは、検索データ非表示ルールと呼ばれます。検索データ非表示ルールの作成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』の検索データ非表示ルールの作成方法に関する説明を参照してください。
検索操作の結果は、次のいずれかの方法で返すことができます。
ターゲット・エントリは返さない
ターゲット・エントリは返されるが、指定された属性はフィルタされて除去される
ターゲット・エントリは返されるが、指定されていない属性はフィルタされて除去される
検索データ非表示ルールは、次のいずれかのエントリに適用できます。
指定されたDNを持つエントリ
指定されたDNパターンを持つエントリ
指定された属性名と属性値のペアを持つエントリ(attrName:attrValue)
検索データ非表示ルールは、特定のリクエスト・フィルタリング・ポリシーに定義され、それ以外のリクエスト・フィルタリング・ポリシーで使用することはできません。リクエスト・フィルタリング・ポリシーが削除されると、関連する検索データ非表示ルールも自動的に削除されます。ゼロ以上の検索データ非表示ルールを1つのリクエスト・フィルタリング・ポリシーに定義できます。
