ツリーを作成すると、デフォルトの権利割り当によって、汎用アクセスとセキュリティがネットワークに提供されます。デフォルトの割り当てには、次のようなものがあります。

• ユーザAdminはツリーの最上位に対してスーパバイザ権を持ちます。これにより、Adminはディレクトリ全体を完全制御することができます。Adminは、NetWareサーバオブジェクトに対してもスーパバイザ権を持ち、サーバ上のどのボリュームに対しても完全制御することができます。
• ［Public］はツリーの最上位のブラウズ権を持ちます。これにより、すべてのユーザが、パブリックアクセスを通して、ツリー内のすべてのオブジェクトを表示する権利を持つことになります。
• NetWare移行、印刷アップグレード、またはWindows NTユーザ移行などのアップグレードプロセスを通して作成したオブジェクトは、ほとんどの場合、適切なトラスティを割り当てられます。

権利の割り当てには、トラスティとターゲットとなるオブジェクトが関係します。トラスティとは、認証されているユーザまたはユーザのグループを表します。ターゲットとは、ユーザが権利を持っているネットワークリソースです。

• 別名をトラスティにする場合、権利は別名が示すオブジェクトにのみ適用されます。ただし、別名オブジェクトを明示的にターゲットにすることは可能です。
• ファイルシステム権はNDS内ではなく、ファイルシステム自体に保存されていますが、NetWareファイルシステム内のファイルまたはディレクトリも、ターゲットにすることができます。

NDS権利の概念

NDS権利についてより良く理解していただくために、次に各権利についての概念を説明します。

オブジェクト(エントリ)権

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。オブジェクト権は、NDSデータベース内でエントリが提供されるため、エントリ権と呼ばれます。

各権利について、次に説明します。

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。

ConsoleOneでは、プロパティ権の管理用に次の2つのオプションが用意されています。

• ［すべての属性権］項目が選択されている場合は、すべてのプロパティを管理できます。
• 特定のプロパティが選択されている場合は、選択された個々のプロパティを管理できます。

各プロパティ権について、次に説明します。

ユーザは、明示的なトラスティ割り当て、継承、および同等セキュリティなどのさまざまな方法で権利を受け取ることができます。権利は、権利継承フィルタにより制限され、下のレベルのトラスティ割り当てによって変更、または取り消すこともできます。このような操作による最終的な結果、つまりユーザが実際に行使できる権利を、有効な権利といいます。

ユーザがいずれかの操作を実行しようとするたびに、該当のオブジェクトに対するそのユーザの有効な権利が計算されます。

NDSによる有効な権利の計算

ユーザがネットワークリソースにアクセスを試みるたびに、NDSは次の手順でそのターゲットリソースに対するユーザの有効な権利を計算します。

1. 計算で考慮される権利を持ったトラスティをリストします。これには、次のものが含まれます。
   • ターゲットリソースにアクセスしようとしているユーザ
   • ユーザが同等セキュリティとなっているオブジェクト

2. リスト内の各トラスティに対して、次のように有効な権利を決定します。
   1. まず、ツリーの最上位に対してトラスティが継承可能な権利を持っているかどうかチェックします。

      NDSはTreeオブジェクトのオブジェクトトラスティ(ACL)プロパティをチェックして、該当のトラスティが登録された項目があるかどうか調べます。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、NDSはそれらの項目に指定された権利を、該当のトラスティの有効な権利の初期セットとして使用します。

   2. ツリー内の、ターゲットリソースが含まれている分岐を1レベル下に移動します。
   3. このレベルでフィルタリングされるすべての権利を削除します。

      NDSはこのレベルのACLをチェックし、該当のトラスティの有効な権利のタイプ(オブジェクト、すべてのプロパティ、または特定のプロパティ)と一致するIRF(権利継承フィルタ)がないか調べます。検出された場合は、NDSは該当のトラスティの有効な権利から、これらのIRFによって継承を阻止されるすべての権利を削除します。

      たとえば、上位のレベルで、トラスティの有効な権利にすべてのプロパティに対する書き込み権の割り当てが含まれていても、このレベルのIRFによってその継承を阻止された場合、すべてのプロパティに対する書き込み権はトラスティの有効な権利から削除されます。

   4. このレベルで割り当てられた継承可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      NDSはこのレベルのACLをチェックし、該当のトラスティが登録された項目があるかどうかチェックします。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、NDSはそれらの項目の権利をトラスティの有効な権利にコピーし、必要に応じて他の割り当てを無効化します。

      たとえば、上位のレベルで、トラスティの有効な権利に作成および削除オブジェクト権が含まれ、プロパティ権についてはまったく含まれていないときに、このレベルのACLに、該当のトラスティに対する0(ゼロ)オブジェクト権の割り当てとすべてのプロパティの書き込み権の割り当てが含まれている場合、トラスティの既存のオブジェクト権(作成および削除)は0(ゼロ)権利と置き換えられ、新たにすべてのプロパティ権が追加されます。

   5. ツリーの各レベル(ターゲットリソースのレベルを含む)で、フィルタリングと追加の手順(cおよびd)を繰り返します。
   6. ターゲットリソースで割り当てられた継承不可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      NDSは手順2dと同じ処理を行います。その結果作成される権利セットが、該当のトラスティの有効な権利になります。

3. リスト内の全トラスティの有効な権利を次のように結合します。
   1. NDSはりスト内のいずれかのトラスティが所有している権利をすべて含めます。リスト内のどのトラスティも所有していない権利のみ除外します。権利タイプは混在させません。たとえば、特定のプロパティに対する権利を、すべてのプロパティに対する権利に追加したり、その逆を行うことはありません。
   2. 現在有効な権利に暗黙的に含まれる権利を追加します。

      その結果作成される権利セットが、ターゲットリソースに対する該当のユーザの有効な権利になります。

例

図 22

次の手順は、NDSがAcctg_Volに対するDJonesの有効な権利を計算する方法を示したものです。

1. 計算の際で考慮される権利を持ったトラスティは、DJones、Marketing、Tree、および［Public］です。

   ここでは、DJonesがどのグループまたは職種にも所属せず、どの同等セキュリティにも明示的に割り当てられていないと仮定しています。

2. 各トラスティの有効な権利は、次のとおりです。
   • DJones: 0(ゼロ)オブジェクト、0(ゼロ)すべてのプロパティ

     Acctg_Volでのすべてのプロパティ権に対する0(ゼロ)割り当てによって、Accountingでのすべてのプロパティに対する書き込み権の割り当ては無効化されます。

   • Marketing: 0(ゼロ)すべてのプロパティ

     ツリーの最上位のすべてのプロパティに対する書き込み権の割り当ては、AccountingでのIRFによって除外されます。

   • Tree: 権利なし

     Treeには、関連するどのツリー分岐でも、権利はまったく割り当てられません。

   • ［Public］: オブジェクトのブラウズ権、すべてのプロパティの読み込み権

     これらの権利はルートで割り当てられ、関連するツリー分岐のどの位置でも、フィルタリングも無効化もされません。

3. これらすべてのトラスティの権利を結合することによって、次のようになります。

   DJones: オブジェクトのブラウズ権、すべてのプロパティの読み込み権

4. すべてのプロパティの読み込み権に伴って暗黙的に割り当てられるすべてのプロパティの比較権を追加することで、最終的にAcctg_Volに対するDJonesの有効な権利は次のようになります。

   DJones: オブジェクトのブラウズ権、すべてのプロパティの読み込み、比較権

有効な権利のブロック

有効な権利の計算方法では、IRFに頼らずに特定の権利を特定のユーザに対してブロックする方法は、必ずしも明確ではありません(IRFはすべてのユーザの権利をブロックします)。

特定の権利をIRFに頼らずにユーザに対してブロックするには、次のような方法があります。

• ターゲットリソース、およびツリー内のターゲットリソースよりも上位のレベルで、該当のユーザおよびそのユーザが同等セキュリティになるオブジェクトにそれらの権利を決して割り当てないようにする。
• 該当のユーザまたはそのユーザが同等セキュリティになるいずれかのオブジェクトにそれらの権利が実際に割り当てられている場合は、ツリーの下位レベルに、それらの権利の割り当てを阻止する何らかの割り当てをそのオブジェクトに対して与えるようにする。不適切な権利を持つすべてのトラスティ(ユーザと関連する)に対して、これを徹底してください。

同等セキュリティとは、別のオブジェクトと同じ権利を持つことを意味します。あるオブジェクト(オブジェクトA)を別のオブジェクト(オブジェクトB)と同等セキュリティにすると、オブジェクトAの有効な権利の計算時には、オブジェクトBの権利がオブジェクトAに追加されます。

たとえば、ユーザオブジェクトJoeをAdminオブジェクトと同等セキュリティにするとします。同等セキュリティを割り当てた後は、Joeは、ツリーおよびファイルシステムに対して、Adminが持つ権利と同じ権利を持つことになります。

同等セキュリティには、次の3つのタイプがあります。

• 明示的:割り当てによる
• 自動:グループのメンバシップまたは職種による
• 暗黙的:すべてのペアレントコンテナおよび［Public］トラスティと同等

同等セキュリティは、1ステップにかぎり有効です。たとえば、さらに別のユーザを上の例のJoeと同等セキュリティにした場合、このユーザはJoeの権利は受け取りますが、Adminの権利は受け取りません。

同等セキュリティは、該当のユーザオブジェクトの同等セキュリティプロパティの値としてNDSに記録されます。

ユーザオブジェクトを職種オブジェクトにその職種の担当者として追加すると、そのユーザは自動的にその職種オブジェクトと同等セキュリティになります。ユーザをグループオブジェクトに追加した場合も同様です。

ACL(アクセス制御リスト)

ACL(アクセス制御リスト)は、オブジェクトトラスティプロパティとも呼ばれます。トラスティを割り当てると、そのトラスティは値としてターゲットのオブジェクトトラスティ(ACL)プロパティに追加されます。

このプロパティは、次の理由から、ネットワークのセキュリティ上、重大な影響をもたらします。

• オブジェクトのオブジェクトトラスティ(ACL)プロパティに対する書き込み権またはスーパバイザ権を持つユーザは、そのオブジェクトのトラスティが誰であるかを知ることができる。
• オブジェクトのオブジェクトトラスティ(ACL)プロパティに対して自己追加権を持つユーザは、そのオブジェクトに対する自分の権利を変更できる。たとえば、そのユーザは自分にスーパバイザ権を与えることができます。

このため、コンテナオブジェクトのすべてのプロパティに対する自己追加権を与える際は、慎重に行う必要があります。自己追加権を割り当てられたトラスティは、該当のコンテナ、その中のすべてのオブジェクト、およびその下のコンテナ内のすべてのオブジェクトに対してスーパバイザとなることができます。

IRF(権利継承フィルタ)

新規サーバのデフォルト権利

新規サーバオブジェクトをツリーにインストールすると、次のトラスティ割り当てが作成されます。

表 17.

管理の委託

NDSでは、自分が管理するツリーの分岐に対する管理権を無効にして、その分岐の管理を他の人物に委託することができます。たとえば、特別なセキュリティ要件により、対象の分岐を完全に制御する管理者を別個に置かなければならないような場合には、管理権の委託というこの方法をとることが必要になります。

管理権を委託するには、次のようにします。

重要:  ユーザオブジェクトに管理を委託した後に、そのオブジェクトが削除されると、その分岐を管理する権利を持つオブジェクトはなくなります。