33 Oracle Identity Managementの権限の委任
この章の内容は次のとおりです。
ノート:
この章で言及するOracle Delegated Administration Servicesはすべて、Oracle Delegated Administration Services 10g(10.1.4.3.0)以上のことです。
33.1 Oracle Identity Management権限
Oracle Identity Managementを使用すると、ユーザー、グループおよびサービスのすべてのデータを1つのリポジトリに格納し、各データ・セットに特定の管理者を割り当てることができます。Oracle Identity Managementは、集中型のリポジトリとカスタマイズされた委任アクセスの両方を提供できる、安全でスケーラブルなものです。
この項の内容は次のとおりです。
33.1.1 権限委任について
委任モデルを使用すると、グローバル管理者は、ホスティングされた企業のアイデンティティ管理レルムを作成し、管理する権限をレルム管理者に委任できます。一方、レルム管理者は、アプリケーション用パスワード、個人データおよび作業環境を変更する権限をエンド・ユーザーおよびグループに委任できます。このようにして、各タイプのユーザーに、適切なレベルの権限を与えることができます。
必要な権限を委任するには、ユーザーを適切な管理グループに割り当てます。たとえば、エンタープライズ・ユーザーと電子メール・サービスに関するデータの両方をディレクトリに格納し、それぞれのデータ・セットに一意の管理者を割り当てる必要があるとします。ユーザーをエンタープライズ・ユーザーの管理者として指定するには、そのユーザーをエンタープライズ・ユーザー管理者グループなどに割り当てます。ユーザーを電子メール・サービスの管理者として指定するには、そのユーザーを電子メール・サービス管理者グループなどに割り当てます。
33.1.2 Oracle Fusion Middleware環境での委任について
この項では、Oracle Fusion Middleware環境での委任の流れについて説明します。
図33-1に、Oracle Fusion Middleware環境での委任の流れを示します。
図33-1 Oracle Fusion Middleware環境での委任の流れ
図33-1に示すように、Oracle Fusion Middleware環境では、ディレクトリのスーパーユーザー(cn=orcadmin
)は次のものを作成します。
-
Oracleコンテキスト
-
レルム
-
レルム固有のOracleコンテキスト
-
レルム管理者用のエントリ(
cn=orcladmin, cn=users,
Enterprise DN
)
一方、レルム管理者は、Oracleコンテキスト管理者グループにユーザーを割り当てることで、Oracleコンテキストの管理を特定のユーザーに委任します。その後、Oracleコンテキスト管理者は、Oracle Fusion Middleware管理者グループにユーザーを割り当てることで、Oracle Application Serverの管理を1人以上のユーザーに委任します。Oracle Fusion Middlewareの管理者は、Oracle Fusion Middlewareコンポーネントをインストールおよび管理し、ユーザーやグループのデータ管理をユーザーおよびグループの管理者グループに委任します。ユーザーおよびグループの管理者は、ユーザーおよびグループを作成します。他のユーザーにユーザーおよびグループの管理者権限を付与することもできます。
33.1.3 デフォルトの構成
Oracle Internet Directoryを初めてインストールすると、デフォルトの構成により、ディレクトリ情報ツリー(DIT)内の様々なポイントでアクセス制御ポリシーが確立されます。デフォルトのアクセス制御は、この章の後半で説明するとおり、「ユーザー」および「グループ」のコンテナに配置されます。同様に、特定のディレクトリ・エンティティのデフォルトの権限についても、この章の後半で説明します。
また、表33-2に示すように、特定のデフォルトの権限はすべての人および各ユーザーに付与されます。
表33-1 すべての人および各ユーザーに付与されるデフォルトの権限
対象 | デフォルトの権限 |
---|---|
全員 |
ルートDSEでの権限は次のとおりです。
|
各ユーザー |
|
企業のセキュリティ要件を満たすように、このデフォルト構成をカスタマイズできます。
33.1.4 Oracleテクノロジ・スタックの管理権限
この項では、権限のタイプを説明し、各権限に関する追加情報を示します。
表33-2に、Oracleテクノロジ・スタックの管理に必要な権限を示します。
表33-2 Oracleテクノロジ・スタックの管理権限
権限のタイプ | 説明 | 詳細情報 |
---|---|---|
ユーザーおよびグループの管理権限 |
これらの権限は、アイデンティティ管理インフラストラクチャを使用するOracleコンポーネントまたはエンド・ユーザー自身のいずれかに委任されます。 |
|
デプロイメント時権限 |
この権限は、Oracleコンポーネントをデプロイするために必要です。ディレクトリ内部で適切なエントリを作成する権限や、共通リポジトリにメタデータを格納する権限を含む場合もあります。そのような権限は、Oracle Portal管理者などに与える必要があります。 |
|
実行時権限 |
この権限は、アイデンティティ管理インフラストラクチャ内のOracleコンポーネントの実行時の対話を円滑にするために必要な権限です。ユーザー属性の表示、新規ユーザーの追加、グループ・メンバーシップの変更のための権限が含まれます。そのような権限は、各Oracleコンポーネントに固有な管理ツールがOracle Internet Directory内部でエントリにアクセス、またはエントリを作成できるように、その管理ツールに対し与える必要があります。 |
ノート:
OracleコンテキストでデフォルトACLを変更する場合は注意が必要です。変更により、ご使用の環境内でOracleコンポーネントのセキュリティが無効になることがあります。OracleコンテキストでデフォルトACLを安全に変更できるかどうかの詳細は、各コンポーネントのドキュメントを参照してください。
関連項目:
既存のディレクトリ構造からOracle Application Server環境への移行を検討している場合は、「他のデータ・リポジトリからのデータ移行の理解」を参照してください
33.2 ユーザーおよびグループの管理権限
管理権限は、アイデンティティ管理インフラストラクチャを使用するOracleコンポーネントまたはエンド・ユーザー自身のいずれかに委任されます。
権限は、アイデンティティ(ユーザーやアプリケーションなど)、またはロールやグループに対して委任できます。次の各項では、ユーザーおよびグループの管理権限について詳しく説明します。
33.2.1 ユーザーおよびグループ・データを管理するための権限について
この手順は、管理権限をスーパー・ユーザーとして委任するのに役立ちます。
管理権限を委任するには、Oracle Internet Directoryスーパーユーザーが、次の作業を行います。
-
アイデンティティ管理レルムを作成します。
-
そのレルムでレルム管理者と呼ばれる特別なユーザーを識別します。
-
そのレルム管理者にすべての権限を委任します。
このレルム管理者は、Oracle定義済ロール(Oracle Fusion Middleware管理者など)に、Oracleコンポーネントが必要とする特定の権限を委任します。Oracleコンポーネントは、デプロイ時にこれらのロールを受け取ります。
レルム管理者は、Oracleコンポーネント固有のロールに権限を委任するほかに、デプロイメントに固有のロール(たとえば、ヘルプ・デスク管理者用のロール)を定義し、権限をこれらのロールに付与できます。委任された管理者は、これらのロールをさらにエンド・ユーザーに付与することができます。実際、ユーザー管理タスクの大部分はセルフサービス(電話番号の変更やアプリケーション固有の作業環境の指定など)に関係しているため、レルム管理者とOracleコンポーネント管理者は、これらの権限をエンド・ユーザーに委任できます。
グループの場合、1人以上の所有者(通常、エンド・ユーザー)を指定できます。これらの所有者に必要な管理権限が付与された場合、所有者は、Oracle Internet Directory Self-Service Console、Oracle Directory Services Managerまたはコマンド行ツールを使用してグループを管理できます。
33.2.2 ユーザー・データを管理するためのデフォルトの権限
ユーザーを作成するためのアクセス制御ポリシー・ポイント(ACP)は、アイデンティティ管理レルムの「ユーザー」コンテナにあります。
これらの項では、これらの各権限について詳しく説明します
33.2.2.1 レルムに対するユーザーを作成するための権限
レルムに対してユーザーを作成するには、管理者はサブスクライバDASユーザー作成グループのメンバーである必要があります。表33-3に、このグループの特性を示します。
表33-3 サブスクライバDASユーザー作成グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのレルムの「ユーザー」コンテナにあるACLにより、レルムのOracleコンテキストのサブスクライバDASユーザー作成グループは、「ユーザー」コンテナの下でユーザーを作成できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 ユーザー権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.2.2 ユーザーの属性を変更するための権限
ユーザー属性を変更するには、管理者はサブスクライバDASユーザー編集グループのメンバーである必要があります。表33-4に、このグループの特性を示します。
表33-4 サブスクライバDASユーザー編集グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナにあるACLにより、レルムのOracleコンテキストのサブスクライバDASユーザー編集グループは、ユーザーの各種属性を変更できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 ユーザー権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.2.3 ユーザーを削除するための権限
レルムでユーザーを削除するには、管理者はDASユーザー削除グループのメンバーである必要があります。表33-5に、このグループの特性を示します。
表33-5 DASユーザー削除グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナにあるACLにより、レルムのOracleコンテキストのDASユーザー削除グループは、レルムからユーザーを削除できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 ユーザー権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.2.4 ユーザー管理を委任するための権限
委任管理者は、ディレクトリで指定された操作を実行できます。また、前述のユーザー作成、ユーザー編集、ユーザー削除の各グループにユーザーを追加する権限を必要とします。
委任管理者にユーザー管理権限を付与するには、付与する管理者がユーザー権限割当てグループのメンバーである必要があります。表33-6に、このグループの特性を示します。
表33-6 ユーザー権限割当てグループの特性
特性 | 説明 |
---|---|
デフォルトACP |
前述の各グループのACLポリシーにより、ユーザー権限割当てグループのメンバーは、これらのグループでユーザーを追加または削除することができます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループ このグループの所有者。これらの所有者の識別名は、グループの |
DN |
|
33.2.3 グループ・データを管理するためのデフォルトの権限
この項は、グループ・データを管理するためのデフォルトの権限を理解するのに役立ちます。
ユーザーとグループの管理には、次の権限が含まれます。
-
グループ・エントリを作成および削除する権限
-
グループ属性の変更
-
グループ管理を他のユーザーに委任する権限
グループを作成するためのACPは、アイデンティティ管理レルムの「グループ」コンテナにあります。詳細は、次の各項で説明します。
33.2.3.1 グループを作成するための権限
Oracle Internet Directoryでグループを作成するには、管理者はグループ作成グループのメンバーである必要があります。表33-7に、このグループの特性を示します。
表33-7 グループ作成グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
レルムの「グループ」コンテナにあるACLにより、グループ作成グループは、レルムで新規グループを追加できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 Oracle Fusion Middleware管理者グループのメンバー グループ権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.3.2 グループの属性を変更するための権限
レルムの「グループ」コンテナの下のグループ属性を変更するには、管理者はグループ編集グループのメンバーである必要があります。表33-8に、このグループの特性を示します。
表33-8 グループ編集グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
レルムの「グループ」コンテナにあるACLにより、グループ編集グループは、レルムでグループの各種属性を変更できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 Oracle Fusion Middleware管理者グループのメンバー グループ権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.3.3 グループを削除するための権限
グループを削除するには、管理者はグループ削除グループのメンバーであることが必要です。表33-9に、このグループの特性を示します。
表33-9 グループ削除グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
レルムの「グループ」コンテナにあるACLにより、グループ削除グループは、レルムでグループを削除できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 グループ権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.2.3.4 グループ管理を委任するための権限
グループの管理を他のユーザーに委任する(つまり、前述のグループ作成、グループ編集またはグループ削除の各グループでユーザーを追加または削除する)には、管理者はグループ権限割当てグループのメンバーである必要があります。表33-10に、このグループの特性を示します。
表33-10 グループ権限割当てグループの特性
特性 | 説明 |
---|---|
デフォルトACP |
グループ作成、グループ編集、グループ削除の各グループのACLポリシーにより、グループ権限割当てグループのメンバーは、これらのグループでユーザーを追加または削除することができます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 グループの所有者。これらの所有者の識別名は、グループの |
DN |
|
33.3 Oracleコンポーネントのデプロイメントの権限
この項では、Oracleコンポーネントのデプロイを担当するグループについて説明します。管理者が実行するタスクおよび管理者が付与できる権限について説明します。
次のトピックを参照してください。
-
ノート:
Oracle Internet Directoryスーパーユーザーは、Oracle Fusion Middleware管理者およびトラステッド・アプリケーション管理者のすべての権限を持ちます。また、Oracle Fusion Middleware管理者グループのメンバーである必要があります。次の操作を実行できます。
-
ユーザーに対するOracle Fusion Middleware管理者ロールの割当て
-
ユーザーに対するトラステッド・アプリケーション・ロールの割当て
-
ユーザーに対するユーザー管理アプリケーション管理者ロールの割当て
-
33.3.1 デプロイメント権限の付与
この項では、デプロイメント権限を付与する方法を説明します。
管理者がOracleコンポーネントをデプロイできるようにするには、スーパーユーザーは次の手順を実行します。
- 特定のデプロイメント権限をOracle Fusion Middleware管理者グループなどの様々なグループに付与します
- 管理者をこれらの権限グループに追加します。
一方、委任管理者は、権限を他の管理者に委任できます。
33.3.2 Oracle Application Server管理者
この項では、Oracle Application Server管理者グループの特性について説明します。
表33-11に、Oracle Application Server管理者グループの特性を示します。
表33-11 Oracle Application Server管理者グループの特性
特性 | 説明 |
---|---|
タスク |
ディレクトリでリポジトリ・データベース登録エントリを作成する、リポジトリ・データベースのインストールの実行。 中間層インストールの実行。中間層をリポジトリと関連付けるには、ユーザーは特定のリポジトリ・データベースでの適切な権限が必要です。 Oracle Internet Directoryでアプリケーション・エンティティを作成する、Oracle Fusion Middlewareコンポーネントのインストールと構成 この項で後述するリストに示す実行時権限のコンポーネント・エンティティへの付与。 コンポーネントが更新通知を受信できるようにするための、コンポーネントに対するプロビジョニング・プロファイルの構成。 |
このグループがコンポーネントに委任できる権限 |
パスワード、証明書および類似のセキュリティ資格証明以外の一般ユーザー属性を読み取る権限。 一般グループ属性を読み取る権限。 グループを作成、編集および削除する権限。 ユーザーを認証する権限 アプリケーション・ベリファイアを読み取る権限 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者 このグループの所有者。 |
DN |
|
33.3.3 ユーザー管理アプリケーション管理者
ユーザー管理アプリケーション管理者は、Oracle Fusion Middleware管理者グループのメンバーである必要があります。
表33-12に、ユーザー管理アプリケーション管理者グループの特性を示します。
表33-12ユーザー管理アプリケーション管理者グループの特性
特性 | 説明 |
---|---|
タスク |
ユーザー管理アプリケーション管理者は、ユーザー管理操作を実行するためのインタフェースを持つ特定のアプリケーションをインストールします。たとえば、Oracle PortalやOracle Application Server Wirelessなどです。 |
このグループがコンポーネントに委任できる権限 |
ユーザー属性を作成、編集および削除する権限。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者 このグループの所有者。 |
DN |
|
33.3.4 トラステッド・アプリケーション管理者
トラステッド・アプリケーション管理者は、Oracle Fusion Middleware管理者グループのメンバーである必要があります。
表33-13に、トラステッド・アプリケーション管理者グループの特性を示します。
表33-13トラステッド・アプリケーション管理者グループの特性
特性 | 説明 |
---|---|
タスク |
Oracle Single Sign-On、Oracle Identity Management、Oracle Application Server Certificate Authorityなど、特定のアイデンティティ管理コンポーネントをインストールします |
このグループがコンポーネントに委任できる権限 |
ユーザー・パスワードの読取り、比較、再設定を行う権限。 エンド・ユーザーのプロキシとなる権限。 ユーザーの証明書とSMIME証明書の読取り、比較、変更を行う権限。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者 このグループの所有者。 |
DN |
|
33.4 コンポーネントの実行時権限の委任
多くのOracleコンポーネントでは、Oracle Internet Directoryでユーザー・エントリが管理されているため、それに対応する権限が必要です。
この項では、Oracleコンポーネントに必要なセキュリティ権限について説明します。この項の内容は、次のとおりです。
33.4.1 Oracle Single Sign-On Serverの認証
この項では、Oracle Single Sign-onサーバーを認証する方法を説明します。
-
Oracle Single Sign-On Serverがユーザーを認証する場合、そのサーバーには次の権限が必要です。
-
独自のアイデンティティを使用してOracle Internet Directoryに接続する権限
-
ユーザーの入力したパスワードが、ディレクトリに格納されているそのユーザーのパスワードと一致するかどうかを検証する権限
このため、Oracle Single Sign-On Serverはユーザー・パスワードを比較する権限が必要です。Oracle Single Sign-OnのCookieを設定するには、ユーザー属性を読み取る権限が必要です。
-
-
アクセス権をユーザーに付与するために、Oracle Portalはそのユーザーの属性を取得する必要があります。このために、プロキシ・ユーザーとしてOracle Internet Directoryにログインし、アクセスを要求しているユーザーの代理となります。したがって、プロキシ・ユーザーの権限を必要とします。
通常、Oracleコンポーネントでは、次の権限が必要です。
-
ユーザー・パスワードの読取りと変更を行う権限
-
ユーザー・パスワードの比較を行う権限
-
アプリケーションにアクセスするユーザーのプロキシとなる権限
-
すべてのOracleコンポーネントのメタデータが格納されるOracleコンテキストを管理する権限
ほとんどのOracleコンポーネントは、権限が事前構成された状態で出荷されます。これらのデフォルトの権限は、特定のビジネス要件を満たすために変更できます。たとえば、ユーザー・エントリを作成および削除する権限を削除することにより変更できます。
関連項目:
コンポーネント委任モデルの詳細は、10g (10.1.4.0.1)ライブラリの『Oracle® Application Serverセキュリティ・ガイド』を参照してください。
33.4.2 ユーザー・パスワードの読取りおよび変更を行うためのデフォルトの権限
ユーザー・パスワードの読取りおよび変更には、ディレクトリのセキュリティ関連の属性に対する管理権限が必要です。
userPassword
属性などです。ユーザー・セキュリティ管理者グループのメンバーシップが必要になります(表33-14を参照)。
表33-14 ユーザー・セキュリティ管理者グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
ルート(DSEエントリ)でのデフォルトのACLポリシーにより、ユーザー・セキュリティ管理者グループのメンバーは、ルートOracleコンテキストで |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 トラステッド・アプリケーション管理者グループのメンバー。 |
DN |
|
33.4.3 ユーザー・パスワードを比較するためのデフォルトの権限
ユーザー・パスワードの比較には、ユーザーのuserPassword
属性を比較する権限が必要です。この操作は、Oracle Internet Directoryに格納されたパスワードを使用してエンド・ユーザーを認証するOracle Unified Messagingのようなコンポーネントにより実行されます。
ユーザー・パスワードを比較するには、表33-15に示す認証サービス・グループのメンバーである必要があります。
表33-15認証サービス・グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナにあるACLポリシーにより、認証サービス・グループは、ユーザーの |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.4.4 パスワード・ベリファイアを比較するためのデフォルトの権限
パスワード・ベリファイアを比較するには、userpassword
属性を比較する権限が必要です。
パスワード・ベリファイアを比較するには、表33-16に示すベリファイア・サービス・グループのメンバーである必要があります。
表33-16ベリファイア・サービス・グループの特性
特性 | 説明 |
---|---|
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.4.5 エンド・ユーザーのプロキシとなるためのデフォルトの権限
プロキシ・ユーザーは、エンド・ユーザーの代理となる権限を持ち、そのユーザーが権限を持つ操作をユーザーにかわって実行します。そのような場合、ディレクトリ・サーバーに対するアクセス制御がユーザーの実行できる操作を実質的に制御します。
エンド・ユーザーのプロキシとなるには、表33-17に示すユーザー・プロキシ権限グループのメンバーである必要があります。
表33-17ユーザー・プロキシ権限グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナでのACLポリシーにより、ユーザー・プロキシ権限グループは、エンド・ユーザーのプロキシとなることができます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 グループの所有者。これらの所有者の識別名は、Oracle Fusion Middleware管理者グループのグループまたはメンバーの トラステッド・アプリケーション管理者グループのメンバー。 |
DN |
|
33.4.6 Oracleコンテキストを管理するためのデフォルトの権限
特定のOracleコンテキストを管理するには、そのコンテキストへの完全なアクセス権が必要です。
Oracleコンテキストを管理するには、表33-18に示すOracleコンテキスト管理者グループのメンバーである必要があります。Oracleコンテキスト管理者グループは、Oracleコンテキストごとに存在し、特定のOracleコンテキストでの管理権限を持ちます。
表33-18Oracleコンテキスト管理者グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
Oracleコンテキストのルート・ノードにあるACLポリシーにより、Oracleコンテキスト管理者グループは、Oracleコンテキスト内ですべての管理操作を実行できます。そのようなポリシーは、ディレクトリで新しいOracleコンテキストが作成されるときに設定されます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 |
DN |
|
33.4.7 共通ユーザー属性を読み取るためのデフォルトの権限
共通ユーザー属性には、mail
、orclguid
、displayname
、preferredlanguage
、orcltime
、gender
、dateofbirth
、telephonenumber
およびwirelessaccountnumber
があります。
これらの属性を読み取るには、表33-19に示す共通ユーザー属性グループのメンバーである必要があります。
表33-19共通ユーザー属性グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトACLは、レルム内の「ユーザー」コンテナ上にあり、共通ユーザー属性を読み取る権限を付与します。 |
管理者 |
Oracle Internet Directoryスーパーユーザー アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.4.8 共通グループ属性を読み取るためのデフォルトの権限
共通グループ属性には、cn
、uniquemember
、displayname
およびdescription
があります。これらの属性を読み取るには、共通グループ属性グループのメンバーである必要があります。
共通グループ属性グループを、表33-20に示します。
表33-20共通グループ属性グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトACLは、レルム内の「グループ」コンテナ上にあり、 |
管理者 |
Oracle Internet Directoryスーパーユーザー アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.4.9 サービス・レジストリを読み取るためのデフォルトの権限
サービス・レジストリのコンテンツを表示するには、サービス・レジストリのビューア・グループのメンバーである必要があります。
サービス・レジストリのビューア・グループを、表33-21に示します。
表33-21サービス・レジストリのビューア・グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのACLは、ルートOracleコンテキストの「サービス」コンテナにあります。 |
管理者 |
Oracle Internet Directoryスーパーユーザー アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|
33.4.10 サービス・レジストリを管理するためのデフォルトの権限
サービス・レジストリを管理するには、サービス・レジストリの管理グループのメンバーである必要があります。
サービス・レジストリの管理グループを、表33-22に示します。
表33-22共通グループ属性グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのACLは、ルートOracleコンテキストの「サービス」コンテナにあります。 |
管理者 |
Oracle Internet Directoryスーパーユーザー アプリケーション・サーバー管理者グループのメンバー。 このグループの所有者。 |
DN |
|