ディレクトリへの匿名 LDAP 検索アクセス権を設定する

LDAP サービスの TCP/IP または TLS ポート設定で許可されている場合は、ディレクトリーに対して匿名 LDAP アクセス権を設定することができます。

LDAP サービスの TCP/IP または TLS のポート設定で匿名 LDAP アクセスが許可されている場合は、LDAP サービスの対象となっている HCL Domino® ディレクトリーまたは拡張ディレクトリー・カタログで匿名 LDAP ユーザーが検索できる情報を指定できます。これには、次のいずれかの方法を使用します。

ドメイン設定文書
データベース ACL と拡張 ACL

LDAP サービスの対象の各ディレクトリに対し、匿名検索アクセス権を個別に指定します。

注: ディレクトリデータベース ACL を常に使用し、さらに必要に応じて拡張 ACL を併用して、認証済み LDAP ユーザーのディレクトリアクセスを制御したり、匿名 LDAP ユーザーがディレクトリを変更できないように設定します。

ドメイン設定文書

デフォルトの方法では、匿名 LDAP ユーザーの検索アクセス権は、Domino® ディレクトリまたは拡張ディレクトリカタログのドメイン設定文書にある [LDAP] タブの [匿名ユーザーが LDAP で検索可能なフィールドの選択] 設定によって決まります。サーバーごとにサーバー設定文書を作成しなくても、LDAP サービスは、この文書のデフォルトの設定をデフォルトの匿名検索アクセス権として使用します。

[匿名ユーザーが LDAP で検索可能なフィールドの選択] 設定を変更することにより、匿名 LDAP ユーザーの検索アクセス権をカスタマイズできます。

データベース ACL と拡張 ACL

ドメイン設定文書を使用する代わりに、データベース ACL と拡張 ACL を併用して、ディレクトリに対する匿名 LDAP 検索アクセス権を定義できます。

方法を選択する

匿名 LDAP 検索アクセス権を制御する方法としては、データベース ACL と拡張 ACL のほうがドメイン設定文書より柔軟です。たとえば、ある属性へのアクセスをドメイン設定文書で許可または拒否すると、そのアクセス権は、その属性を持つすべてのエントリに適用されます。これに対し、データベース ACL と拡張 ACL を使用すると、ディレクトリツリーの特定の分岐にあるエントリが持つ属性へのアクセスを拒否し、別の分岐にあるエントリが持つ同じ属性へのアクセスを許可できます。また、たとえば、ディレクトリ全体を通して特定の種類のエントリが持つ属性へのアクセスを拒否し、別の種類のエントリが持つ属性へのアクセスを許可できます。

ただし、ドメイン設定文書を使用した場合には適用されないような、拡張アクセスの使用方法もあります。例えば、拡張アクセスを有効にすると、Domino® 6 以降のサーバー上にあるディレクトリのレプリカに対してのみディレクトリ変更ができます。Domino® 6 より前のリリースでは、このような変更は行えません。また、ACL を使用する方法では、HCL Notes® の名前参照機能 (例えば、参照の入力補完機能) に対してデータベースセキュリティが適用されます。ドメイン設定文書の方法が自分のニーズに十分であれば、そちらを採用することにも意味があります。