拡張 ACL - 例 2

Renovations 社は 1 つの Domino® ドメインを使用します。Domino® ディレクトリ内のディレクトリ名階層は、組織 O=Renovations とその下の 2 つの組織単位 OU=West と OU=East で構成されています。

このタスクについて

Renovations Domino® ディレクトリには、次の 3 つの管理者グループが含まれています。

  • Admins/Renovations グループ。ディレクトリ全体の文書の管理を担当します。
  • Admins/West/Renovations グループ。OU=West の下の文書と West/Renovations で終わる名前を持つ文書の管理を担当します。
  • Admins/East/Renovations グループ。OU=East の下の文書と East/Renovations で終わる名前を持つ文書の管理を担当します。

セキュリティを確保するために、Renovations では以下の目標を設定しました。

  1. Admins/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書に対するすべてのアクセス権を持つ。
    • 拡張 ACL であらゆるターゲットに対するアクセス権を管理する。
  2. Admins/West/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書のすべてのフィールドを読み取る。
    • OU=West の文書のみを作成、修正、削除する。
    • OU=West ターゲットでの拡張 ACL を管理する。
  3. Admins/East/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書のすべてのフィールドを読み取る。
    • OU=East の文書のみを作成、修正、削除する。
    • OU=East ターゲットの拡張 ACL を管理する。
  4. 管理グループ以外の認証されたユーザーが、データベース全体のユーザー文書、グループ文書、リソース文書のみを参照および読み取りできるようにします。また、どの文書に対しても作成、削除、修正はできないようにします。
  5. 匿名ユーザーがディレクトリにアクセスできないようにします。

次の表は、Renovations が Domino® ディレクトリのデータベース ACL と拡張 ACL を設定してセキュリティ上の目標を達成する方法を示しています。

1. データベース ACL
件名 アクセス 説明
-デフォルト- 読者 管理者ではないユーザーが、ユーザー文書、グループ文書、リソース文書を参照および読み取りできるようにするために必要です。
Admins/Renovations グループ
  • 稼働環境のカスタマイズ
  • 削除
  • すべての管理ロール
 Admins/Renovations のメンバーがすべての文書と拡張 ACL 全体を管理できるようにします。拡張 ACL 設定は不要です。
Admins/West/Renovations グループ
  • 編集者
  • 作成、削除
  • すべての管理ロール
 Admins/West/Renovations のメンバーが、West/Renovations 文書の拡張 ACL を作成、修正、削除、管理できるようにするために必要です。
Admins/East/Renovations グループ
  • 編集者
  • 作成、削除
  • すべての管理ロール
 Admins/East/Renovations のメンバーが East/Renovations 文書の拡張 ACL を作成、修正、削除、管理できるようにするために必要です。
匿名 アクセス権限なし 匿名ユーザーがディレクトリのどの情報にもアクセスできないようにします。拡張 ACL 設定は不要です。
2. 拡張 ACL の / (ルート) ターゲットを使用する
件名 アクセス [このコンテナとすべての子コンテナ] の選択 説明
-デフォルト- デフォルト:
  • すべてのユーザー、グループ、リソース文書の拒否
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
 はい 管理者ではないユーザーが、ユーザー文書、グループ文書、リソース文書のみを読み取りできるようにします。
Admins/West/Renovations グループ デフォルト:
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
 はい Admins/West/Renovations グループのメンバーが / (ルート) と O=Renovations ターゲットにある文書を修正できないようにします。
Admins/East/Renovations グループ デフォルト:
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
 はい Admins/East/Renovations グループのメンバーが / (ルート) と O=Renovations ターゲットにある文書を修正できないようにします。
3. 拡張 ACL の OU=West ターゲット
件名 アクセス [このコンテナとすべての子コンテナ] の選択 説明
Admins/West/Renovations グループ デフォルト:
  • すべてを許可
 はい Admins/West/Renovations のメンバーが OU=West の文書に対するすべてのアクセス権を持つようにします。
4. 拡張 ACL の OU=East ターゲット
件名 アクセス [このコンテナとすべての子コンテナ] の選択 説明
Admins/East/Renovations グループ デフォルト:
  • すべてを許可
 はい Admins/East/Renovations のメンバーが OU=East の文書に対するすべてのアクセス権を持つようにします。