http://w.atwiki.jp/benkyou/ LPIC試験勉強部屋 ja 2007-09-15T10:38:59+09:00 1189820339 https://w.atwiki.jp/benkyou/pages/13.html 2007-09-15T10:38:59+09:00 1189820339 https://w.atwiki.jp/benkyou/pages/17.html **LDAPのアクセス制御(ACL) LDAPに接続するユーザーのアクセス制御を行うには、slapd.confにアクセス制御の構文を追加します。 ACLは、最初に書かれているほうから優先されます。 例 access * 　　by * read 【意味】 　すべてのエントリに対してすべてのユーザーに読み取り権限を与える エントリの指定 １行目のaccess * は、対象とするエントリを指定します。 この構文は、３つの構文があります。すべてを使う必要はありません。 1,ターゲットのDNを指定する 　　dn.<ターゲット>=<パターン> <ターゲット>には、以下が入ります。 | base | <パターン>で定義されているDNのみ | | subtree | <パターン>で定義されているDNを含むサブツリーすべて | | one | <パターン>で定義されているDNの直下のエントリのみを対象とする | | children | <パターン>をで定義されているDNを含まないサブツリーすべて | 　なにも入れない場合は、subtreeが適用されます。 2,LDAP検索フィルタ 　filter=<フィルタ> 3,属性リスト 　attrs=<属性リスト> ユーザーの指定 ２行目のby * readは、対象とするユーザーと与える権限を指定します。 １番目の*には、以下を入れて、対象とするユーザーを指定します。 | * | すべてのユーザー | | self | 現在接続しているユーザー | | anonymous | 認証されていないユーザー | | users | 認証されているユーザー | | 正規表現 | 正規表現にマッチする特定のユーザー | 権限の指定 ２番目のreadには、与える権限を指定します。 高いレベルの権限は、それより低いレベルの権限を含みます。 下の表は、上に行くほど高いレベルの権限になります。 | write | 属性値を更新出来る | | read | LDAPディレクトリの情報を検索、閲覧出来る | | search | ある情報が、LDAPディレクトリに存在するかの確認が出来る | | compare | あるエントリの属性値が指定した属性値と一致するか比較出来る | | auth | その属性値を使って認証を受けることが出来る | | none | アクセス出来ない | ACL構文の例 access to attrs=userPassword 　by * auth 【意味】OSやアプリケーションの認証にuserPassword属性値を使用出来る 実際に、userPasswordの値を見たり、書き換えたりは出来ない access to attrs=userPassword 　by self write 　by * auth 【意味】OSやアプリケーションの認証にuserPassword属性値を使用出来るのに加えて、自分のパスワードを変更出来る。 2007-09-15T10:36:49+09:00 1189820209 https://w.atwiki.jp/benkyou/pages/18.html 2007-09-01T20:22:36+09:00 1188645756 https://w.atwiki.jp/benkyou/pages/31.html 2007-09-01T12:36:07+09:00 1188617767 https://w.atwiki.jp/benkyou/pages/12.html 2007-08-19T21:08:56+09:00 1187525336 https://w.atwiki.jp/benkyou/pages/19.html 2007-08-19T10:22:17+09:00 1187486537 https://w.atwiki.jp/benkyou/pages/20.html 2007-08-18T22:57:57+09:00 1187445477 https://w.atwiki.jp/benkyou/pages/16.html スキーマとは? データの格納形態を定義するためのファイルで、データベースによく使われます。/etc/openldap/schema/*に格納されています。 スキーマファイルの構文は、RFC2552で、種別は、RFC2256で公開されています。 LDAPの主なスキーマ LDAPのスキーマは、objectClassと、属性を定義しています。 ・core.schema 　　openldapのコアスキーマ　必ず使用します。 　　基本的な属性とオブジェクトクラスを定義しています。 ・cosine.schema 　　X.500で定義されているCosineスキーマ ・inetOrgperson.schema 　　人の情報を保存するために使われる。 ・nis.schema 　　NISとLDAPを併用するために必要な属性を定義するスキーマ スキーマの中身 ◆属性の定義 例としてcore.schemaのtelephoneNumber属性の構文を見てみます。 attributetype(2.5.4.20 NAME `telephoneNumber` 　　　　DESC `RFC2256: Telephone Number` 　　　　EQUALITY telephoneNumberMatch 　　　　SUBSTR telephoneNumberSubstringsMatch 　　　　SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} ) ・1行目　 属性を定義するスキーマの構文は、attributetypeから始まります。 2.5.4.20は、telephoneNumberをあらわすOID(オブジェクト識別子)です。 NAMEは、属性の名前を表します。 ・2行目 DESCは、この属性の説明です。 　RFC2256の中のTelephone Numberの項にこのスキーマのフォーマットが　書かれているという意味です。 ・3行目 EQALITYは、照合規則をあらわします。 telephoneNumberMatchは、以下の規則を定義しています。 空白を無視する。大文字、小文字を区別しない等です。 ・4行目 SUBSTRは、部分比較に使われます。 検索条件にワイルドカードを使えるようにします。 ・5行目 SYNTAXは、データ型を定義するOIDです。 {}内の数字は、属性値の推奨される最小値です。 ◆objectClassの定義 例として、core.schemaのpersonオブジェクトクラスの構文を見てみます。 objectClass (2.5.6.6 NAME `person` 　　　　DESC `RFC2256: a person 　　　　SUP top STRUCTURAL 　　　　MUST ( sn $ cn ) 　　　　MAY ( userPassword $ telephoneNumber $　seeAlso $ description )) ・１行目 このobjectClassのOIDと名前を表しています。 ・２行目 このobjectClassの説明です。RFC2256の a personの項に書かれています。 ・３行目 SUPは、このobjectClassが、top objectClassから派生したことを表しています。STRUCTURALは、構造型オブジェクトクラスであることを表しています。構造型とは、人や組織など実世界に存在するものという意味です。 ・４行目 MUSTは、必須属性を表しています。personオブジェクトクラスは、 データを保存する際、snとcn属性値を使わなければなりません。 ・５行目 MAYは、使用可能な属性を表しています。personオブジェクトクラスは、 データを保存する際、これら４つの属性を使用できます。 2007-08-18T18:39:46+09:00 1187429986 https://w.atwiki.jp/benkyou/pages/1.html ＊＊LPIC試験勉強部屋へようこそ ---- 来てくれた人 本日&counter(today)人 昨日&counter(yesterday)人 合計&counter()人 ---- まだ、工事中ですので一般公開していません。 一部、編集したページを開放しました。 このWikiは、管理者がLPIC3の試験勉強用に集めた内容を勝手にまとめたものです。 内容に間違いなどがあっても管理者は一切の責任を負いません。 [[管理者へ問い合わせ>http://www37.atwiki.jp/benkyou/contact]] ご意見、ご感想や、間違いの指摘等は、こちらへお願いします。 #comment_num(size=70,nsize=30) 2007-08-18T18:37:30+09:00 1187429850 https://w.atwiki.jp/benkyou/pages/2.html メニュー -[[トップページ>http://www37.atwiki.jp/benkyou/pages/1.html]] -[[目次]] LDAP -[[LDAPとX.500]] -[[LDIFファイル]] -[[LDAPの設定ファイル]] -[[LDAPの設定ツール]] -[[スキーマ]] -[[LDAPのアクセス制御]] -[[LDAPのセキュリティ]] -[[LDAPのリプリケーション]] -[[LDAPの運用]] -[[LDAPとPAM、NSS]] -[[LDAPとSAMBA]] -[[LDAPとNIS]] -[[LDAPとActiveDirectory]] -[[LDAPとUNIXサービス]] -[[LDAP用語集]] キャパシティプランニング -[[リソースの使用率の測定]] -[[キャパシティプランニング]] -[[リソースのトラブルシューティング]] ---- -[[@ウィキ ガイド>http://atwiki.jp/guide/]] -[[@wiki 便利ツール >http://atwiki.jp/tools/]] -[[@wiki>http://atwiki.jp]] // リンクを張るには "[" 2つで文字列を括ります。 // ">" の左側に文字、右側にURLを記述するとリンクになります 2007-08-18T17:59:44+09:00 1187427584