この付録では、アクセス制御項目(ACI)の書式(構文)について説明します。この項の内容は、次のとおりです。
ユーザー属性orclACI
で定義されているアクセス制御ディレクティブのスキーマは、次のとおりです。
OrclACI:{ object_identifier NAME 'orclACI' DESC 'Stores an inheritable ACI' EQUALITY accessDirectiveMatch SYNTAX 'accessDirectiveDescription' USAGE 'directoryOperation'} accessDirectiveDescription has the following BNF: <accessDirectiveDescription> ::= access to <object> [by <subject> ( <accessList> )]+ <object> ::= [attr <EQ-OR-NEQ> ( * | (<attrList>) ) | entry] [filter=(<ldapFilter>)] [DenyGroupOverride] [AppendToAll] <subject> ::= <entity> [<BindMode>] [<BindIPFilter>] [Added_object_constraint=(<ldapFilter>)] <entity> ::= * | self | dn="<regex>" | dnAttr=(<dn_attribute>) | group="<dn>" | guidattr=(<guid_attribute>) | groupattr=(<group_attribute>) | [SuperUser] BindMode=(LDAP_authentication_choice)|LDAP_security_choice) LDAP_authentication_choice::= proxy | simple | MD5Digest | PKCS12 LDAP_security_choice::= SSLNoAuth | SSLOneWay | SASL BindIPFilter=(<ldapFilter for orclipaddress>) ex: (|(orclipaddress=1.2.3.*)(orclipaddress=1.2.4.*)), (&(orclipaddress!=1.2.*)(orclipaddress!=3.4.*)) <accessList> ::= <access> | <access>, <accessList> <access> ::= none | compare | search | browse | proxy | read | selfwrite | write | add | delete | nocompare | nosearch | nobrowse | noproxy |noread | noselfwrite | nowrite | noadd | nodelete <attrList> ::= <attribute name> | <attribute name>,<attrList> <EQ-OR-NEQ> ::= = | != <regex> ::= <dn> | *,<dn_of_any_subtree_root>
注意: 前述の正規表現は、任意の式のどれにでも対応するというものではありません。構文で許可されているのは、ワイルド・カードの後にカンマと有効な識別名が続く式のみです。<dn_of_any_subtree_root>で示されている識別名は、いくつかのサブツリーのルートを指定することを意味しています。 |
orclEntryLevelACI
のBER書式は、orclACI
の書式と同じです。
ユーザー属性orclEntryLevelACI
で定義されているエントリ・レベルのアクセス制御ディレクティブのスキーマは、次のとおりです。
"orclEntryLevelACI": { object_identifier NAME 'orclEntryLevelACI' DESC 'Stores entry level ACL Directive' EQUALITY accessDirectiveMatch SYNTAX 'orclEntryLevelACIDescription' USAGE 'directoryOperation' } <orclEntryLevelACIDescription> ::= access to <object> [by <subject> ( <accessList> )]+