ディレクトリサービス
メモ ディレクトリデータベース ACL を常に使用し、さらに必要に応じて拡張 ACL を併用して、認証済み LDAP ユーザーのディレクトリアクセスを制御したり、匿名 LDAP ユーザーがディレクトリを変更できないように設定します。
ドメイン設定文書デフォルトでは、匿名 LDAP ユーザーの検索アクセス権は、Domino ディレクトリまたは拡張ディレクトリカタログのドメイン設定文書にある [LDAP] タブの [匿名ユーザーが LDAP で検索可能なフィールドの選択] 設定によって決まります。サーバーごとにサーバー設定文書を作成しなくても、LDAP サービスは、この文書のデフォルトの設定をデフォルトの匿名検索アクセス権として使用します。 [匿名ユーザーが LDAP で検索可能なフィールドの選択] 設定を変更することにより、匿名 LDAP ユーザーの検索アクセス権をカスタマイズできます。
データベース ACL と拡張 ACLドメイン設定文書を使用する代わりに、データベース ACL と拡張 ACL を併用して、ディレクトリに対する匿名 LDAP 検索アクセス権を定義できます。 方法を選択する匿名 LDAP 検索アクセス権を制御する方法としては、データベース ACL と拡張 ACL のほうがドメイン設定文書より柔軟です。たとえば、ある属性へのアクセスをドメイン設定文書で許可または拒否すると、そのアクセス権は、その属性を持つすべてのエントリに適用されます。これに対し、データベース ACL と拡張 ACL を使用すると、ディレクトリツリーの特定の分岐にあるエントリが持つ属性へのアクセスを拒否し、別の分岐にあるエントリが持つ同じ属性へのアクセスを許可できます。また、たとえば、ディレクトリ全体を通して特定の種類のエントリが持つ属性へのアクセスを拒否し、別の種類のエントリが持つ属性へのアクセスを許可できます。 ただし、ドメイン設定文書を使用した場合には適用されないような、拡張アクセスの使用方法もあります。たとえば、拡張アクセスを有効にすると、Lotus Domino 6 以降のサーバー上にあるディレクトリのレプリカに対してのみディレクトリ変更ができます。Lotus Domino 6 より前のリリースでは、このような変更は行えません。また、ACL を使用する方法では、Lotus Notes の名前参照機能 (たとえば、参照の入力補完機能) に対してデータベースセキュリティが適用されます。ドメイン設定文書の方法が自分のニーズに十分であれば、そちらを採用することにも意味があります。
関連項目