ディレクトリのアクセス制御を計画する

HCLDomino® ディレクトリに対するユーザーと Domino® サーバーの一般的なアクセス権を制御する場合は、データベース ACL を使用します。必要に応じて拡張 ACL を使用すると、一般的なデータベース ACL を詳細に設定して、ディレクトリの特定部分へのアクセスを細かく制限できます。拡張 ACL は、Domino® ディレクトリと拡張ディレクトリカタログに対してのみ使用できます。

ディレクトリのアクセス制御を計画する場合に発生する課題をいくつか次に示します。

Domino® ディレクトリで、特定の管理ロールに管理者を割り当てるか?
社内の各管理者が専門の管理業務に就いている場合は、それらの業務に対応する、ACL 内の管理ロールのみにその管理者を割り当てることを検討します。社内の管理者がすべての管理業務を行う場合は、それらの管理者をすべてのロールに割り当てます。
拡張 ACL を使用するか?
拡張 ACL を使用する目的の 1 つは、複数の組織または組織単位の情報を格納するディレクトリに対する、組織の枠を越えたアクセスを制限することです。
ディレクトリに対する匿名アクセスを許可するか?
デフォルトでは、Domino® ディレクトリにあるドメイン設定文書を使用して、匿名 LDAP 検索アクセスを制御します。デフォルトでは、匿名 LDAP ユーザーは、特定の属性のリストに対する読み込みアクセス権を持ちます。

ディレクトリデータベース ACL の [Anonymous] エントリは、デフォルトでは [なし] に設定されていて、LDAP ユーザー以外のすべてのユーザーの匿名アクセスを制御します。拡張 ACL を使用すると、データベース ACL の [Anonymous] エントリと拡張 ACL で匿名 LDAP アクセスも制御できます。通常、[Anonymous] エントリに許可されているのは、[読者] アクセスのみです。