動的ディレクトリ ロールの設定

動的ロールを使用するには、以下の手順に従います。
cad126jp
動的ロールを使用するには、以下の手順に従います。
  1. 動的ロールを作成します
    これにより以下のいずれか、または両方を実行することができます。
    • 新しいロールに対して管理制限を作成する。
    • 新しいロールに対してアクセス制御ルールを作成する。
動的ロールの有効化
動的ロールを作成できるようにするには、その前に動的グループを設定する必要があります。グループがエラーなしで動作するのを確認してから、ロールを設定します。
動的ロールを有効にする方法
  1. DSA を停止します。
  2. DXHOME/config//settings にある、DSA 設定ファイルに以下のコマンドを追加します。
    set role-subtree = DN; set use-dynamic-roles = true;
    このコマンドにある
    DN
    は、グループのサブツリーの識別名です。
  3. DSA を起動します。
動的ロールの作成
それぞれの動的ロールに対して、以下の補助オブジェクト クラスの 1 つを使用して、ロール サブツリーでエントリを作成する必要があります。
  • dxDynamicGroupOfNames
    このオブジェクト クラスには属性
    groupOfNames
    が含まれます。これを使用して DN を格納できます。
  • dxDynamicGroupOfUniqueNames
    このオブジェクト クラスには属性
    groupOfUniqueNames
    が含まれます。
ロール エントリはすべて同じサブツリーに格納される必要があります。
動的ロールを作成する方法
  1. LDAP URL 形式の検索フィルタを含む動的グループの
    dxMemberURL
    属性に値を追加します。
    ldap:///base-dn??scope?filter (|(group=teachers)(group=students))
    • base-dn
      フィルタ検索用のベース オブジェクトを指定します。
    • scope
      (省略可)以下のいずれかを指定します。
    • sub
      フィルタ検索の対象がベース DN より下の全サブツリーになります。
    • base
      (デフォルト)フィルタは単に DN を返します。
    • one
      フィルタ検索の対象がベース DN より 1 レベル下になります。
    • filter
      (オプション)LDAP 検索フィルタを定義します。たとえば以下のようにします。
  2. エントリへの変更を保存します。
    次回ディレクトリにログインするとき、ロールはメンバに適用されます。
例: 動的ロール エントリ
この例では、ロールとして使用される動的グループ エントリを示します。
エントリは以下のように LDIF 形式で表示されます。
dn: cn=Manager,ou=Groups,o=Democorp,c=AU objectClass: groupOfNames objectClass: dxDynamicGroupOfNames objectClass: top cn: Manager dxMemberURL:: bGRhcDovLy9jPVFVSz9zdWI/AHNuPOR1bWVsZWXvssUpIA=0
dxMemberURL
属性の DN は、属性の構文のためにエンコードされます。エンコードされない値を以下に示します。
ldap:///o=Democorp,c=AU??sub?(position=manager)
この URL では、検索のベース オブジェクトおよびスコープは無視されます。
動的ロールの無効化
動的ロールを無効にするには、以下のコマンドを入力します。
set use-dynamic-roles = false;