Lotus Domino Administrator 6.5.1 ヘルプ

ディレクトリサービス

拡張 ACL:例 2
Acme 社は、 Domino ドメインを 1 つ使用しています。Domino ディレクトリ内のディレクトリ名階層は、組織 O=Acme とその下の 2 つの組織単位 OU=Sales と OU=Engineering で構成されています。Acme Domino ディレクトリには、次の 3 つの管理者グループが含まれています。

Admins/Acme グループ。ディレクトリ全体の文書の管理を担当します。
Admins/West/Acme グループ。OU=West の下の文書と West/Acme で終わる名前を持つ文書の管理を担当します。
Admins/East/Acme グループ。OU=East の下の文書と East/Acme で終わる名前を持つ文書の管理を担当します。

セキュリティ上の目標

セキュリティを確保するために、Acme では以下の目標を設定しました。

1 Admins/Acme グループのメンバーに以下を許可します。

ディレクトリのすべての文書に対するすべてのアクセス権を持つ。
拡張 ACL であらゆるターゲットに対するアクセス権を管理する。

2 Admins/West/Acme グループのメンバーに以下を許可します。

ディレクトリのすべての文書のすべてのフィールドを読み取る。
OU=West の文書のみを作成、修正、および削除する。
OU=West ターゲットでの拡張 ACL を管理する。

3 Admins/East/Acme グループのメンバーに以下を許可します。

ディレクトリのすべての文書のすべてのフィールドを読み取る。
OU=East の文書のみを作成、修正、および削除する。
OU=East ターゲットの拡張 ACL を管理する。

4 管理グループ以外の認証されたユーザーが、データベース全体のユーザー文書、グループ文書、およびリソース文書のみを参照および読み取りできるようにします。また、どの文書に対しても作成、削除、および修正はできないようにします。

5 匿名ユーザーがディレクトリにアクセスできないようにします。

Acme の目標達成方法
次の表は、Acme が Domino ディレクトリのデータベース ACL と拡張 ACL を設定してセキュリティ上の目標を達成する方法を示しています。

データベース ACL

サブジェクト アクセス権 説明

-Default- 読者管理者ではないユーザーが、ユーザー文書、グループ文書、およびリソース文書を参照および読み取りできるようにするために必要です。

Admins/Acme グループ

管理者
削除
すべての管理ロール
Admins/Acme のメンバーがすべての文書と拡張 ACL 全体を管理できるようにします。拡張 ACL 設定は不要です。

Admins/West/Acme グループ

編集者
作成、削除
すべての管理ロール
Admins/West/Acme のメンバーが、West/Acme 文書の拡張 ACL を作成、修正、削除、および管理できるようにするために必要です。

Admins/East/Acme グループ

編集者
作成、削除
すべての管理ロール
Admins/East/Acme のメンバーが East/Acme 文書の拡張 ACL を作成、修正、削除、および管理できるようにするために必要です。

Anonymous なし匿名ユーザーがディレクトリのどの情報にもアクセスできないようにします。拡張 ACL 設定は不要です。

拡張 ACL の / (ルート) ターゲット

サブジェクト アクセス権 [このコンテナとすべての子コンテナ] の選択 説明

-Default- デフォルト:

すべて許可しない
ユーザー、グループ、およびリソース文書:

許可:参照、読み込み
禁止:作成、削除、書き込み、管理
選択する管理者ではないユーザーが、ユーザー文書、グループ文書、およびリソース文書のみを読み取りできるようにします。

Admins/West/Acme グループデフォルト:

許可:参照、読み込み
禁止:作成、削除、書き込み、管理
選択する Admins/West/Acme グループのメンバーが / (ルート) と O=Acme ターゲットにある文書を修正できないようにします。

Admins/East/Acme グループデフォルト:

許可:参照、読み込み
禁止:作成、削除、書き込み、管理
選択する Admins/East/Acme グループのメンバーが / (ルート) と O=Acme ターゲットにある文書を修正できないようにします。

拡張 ACL の OU=West ターゲット

サブジェクト アクセス権 [このコンテナとすべての子コンテナ] の選択 説明

Admins/West/Acme グループデフォルト:

すべてを許可
選択する Admins/West/Acme のメンバーがOU=West の文書に対するすべてのアクセス権を持つようにします。

拡張 ACL の OU=East ターゲット

サブジェクト アクセス権 [このコンテナとすべての子コンテナ] の選択 説明

Admins/East/Acme グループデフォルト:

すべてを許可
選択する Admins/East/Acme のメンバーがOU=East の文書に対するすべてのアクセス権を持つようにします。

関連項目

用語集

用語集

サブジェクト	アクセス権	説明
-Default-	読者	管理者ではないユーザーが、ユーザー文書、グループ文書、およびリソース文書を参照および読み取りできるようにするために必要です。
Admins/Acme グループ	管理者削除すべての管理ロール	Admins/Acme のメンバーがすべての文書と拡張 ACL 全体を管理できるようにします。拡張 ACL 設定は不要です。
Admins/West/Acme グループ	編集者作成、削除すべての管理ロール	Admins/West/Acme のメンバーが、West/Acme 文書の拡張 ACL を作成、修正、削除、および管理できるようにするために必要です。
Admins/East/Acme グループ	編集者作成、削除すべての管理ロール	Admins/East/Acme のメンバーが East/Acme 文書の拡張 ACL を作成、修正、削除、および管理できるようにするために必要です。
Anonymous	なし	匿名ユーザーがディレクトリのどの情報にもアクセスできないようにします。拡張 ACL 設定は不要です。

サブジェクト	アクセス権	[このコンテナとすべての子コンテナ] の選択	説明
-Default-	デフォルト: すべて許可しないユーザー、グループ、およびリソース文書: 許可:参照、読み込み禁止:作成、削除、書き込み、管理	選択する	管理者ではないユーザーが、ユーザー文書、グループ文書、およびリソース文書のみを読み取りできるようにします。
Admins/West/Acme グループ	デフォルト: 許可:参照、読み込み禁止:作成、削除、書き込み、管理	選択する	Admins/West/Acme グループのメンバーが / (ルート) と O=Acme ターゲットにある文書を修正できないようにします。
Admins/East/Acme グループ	デフォルト: 許可:参照、読み込み禁止:作成、削除、書き込み、管理	選択する	Admins/East/Acme グループのメンバーが / (ルート) と O=Acme ターゲットにある文書を修正できないようにします。