18.14. エントリーのアクセス権利の確認 (Get Effective Rights)
ユーザーが特定のエントリー内の属性に対して持っているアクセス権を見つけることは、管理者がアクセス権限を見つけて制御するのための便利な方法を提供します。
Get effective rights は、ディレクトリー検索を拡張して、ユーザーが特定のエントリーに対してどのようなアクセス権 (読み取り、検索、書き込みと自己書き込み、追加、削除など) を持っているかを表示する方法です。
Directory Server では、通常のユーザーは、表示できるエントリーに対する権限を確認して、他の人による個人エントリーへのアクセスを確認することができます。Directory Manager は、あるユーザーが別のユーザーに属する権限を確認できます。
エントリーの実効権限を確認することが便利な状況は 2 つあります。
- 管理者は、ディレクトリーに対するアクセス制御手順をより適切に整理するために、get effective rights コマンドを使用できます。あるグループのユーザーが閲覧または編集できる内容を、別のグループと比較して制限する必要があることがよくあります。たとえば、QA Managers グループのメンバーには、
manager
やsalary
などの属性を検索および読み取る権利がありますが、HR Group メンバーのみが変更または削除する権限を持ちます。ユーザーまたはグループの実効権限を確認する方法は、適切なアクセス制御が有効であることを確認する方法です。 - ユーザーは、get effective rights コマンドを実行して、個人エントリーで表示または変更できる属性を確認することができます。たとえば、ユーザーは
homePostalAddress
やcn
などの属性にアクセスできますが、manager
属性およびsalary
属性への読み取りアクセスしかできません。
get effective rights 検索には、以下の 3 人があります。1 つ目は、search コマンド( 要求側 )を実行しているユーザーです。権限がチェックされます(さまざまな対象者は、A がエントリー B に対して持っている権限を確認)します。この権限がチェックされる人は GER サブジェクトで、その権限は GER サブジェクト であり、それらの権限は検索の対象になります。ユーザーの権利(Entry B)を持つエントリーまたはエントリーは、検索ベース または 検索ベースになります。
18.14.1. Get Effective Rights 検索表示される権限
Directory Server コンソールのエントリーを表示し、コマンドラインで検索するときの両方の get effective rights 検索では、ユーザー A がユーザー B のエントリーに対して必要とする権限を表示します。
任意のエントリーに指定できるアクセス権には、2 種類があります。1 つ目は上位の権利で、エントリー自体に対する権利 です。つまり、ユーザー A がユーザー B のエントリー全体に対して実行できる操作の種類を意味します。第 2 レベルのアクセス権はより詳細で、ユーザー A が ある属性に対してどのような権利 を有しているかを示しています。この場合、ユーザー A は同じエントリーで異なる属性のアクセスパーミッションがある可能性があります。ユーザーに許可されるアクセス制御は、そのエントリーに対する 有効な 権限です。
以下に例を示します。
entryLevelRights: vadn attributeLevelRights: givenName:rscWO, sn:rscW, objectClass:rsc, uid:rsc, cn:rscW
表18.2「エントリーの権限」および 表18.3「属性権」は、エントリーおよび属性へのアクセス権限をそれぞれ表示し、get effective rights 検索で返されます。
パーミッション | 説明 |
---|---|
a | エントリーを追加します。 |
d | このエントリーを削除します。 |
n | DN の名前を変更します。 |
v | エントリーを表示します。 |
パーミッション | 説明 |
---|---|
r | 読み取り。 |
s | 検索。 |
w | 書き込み (mod-add)。 |
o | 抹消 (mod-del)。削除に類似しています。 |
c | 比較。 |
W | 自己書き込み。 |
O | 自己削除。 |