ツリーを作成すると、デフォルトの権利割り当てによって、ネットワークへの汎用アクセスとセキュリティが与えられます。デフォルトの割り当てには、次のようなものがあります。
権利の割り当てには、トラスティとターゲットとなるオブジェクトが関係します。トラスティとは、認証されているユーザまたはユーザのグループを表します。ターゲットとは、ユーザが権利を持っているネットワークリソースです。
注: [Public]トラスティは、オブジェクトではありません。すべてのネットワークユーザに対して与えられる、権利割り当てに関連するトラスティです。
eDirectoryでの権利についてより良く理解していただくために、次に各権利の概念について説明します。
トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。オブジェクト権は、eDirectoryデータベース内でエントリが提供されるため、エントリ権と呼ばれます。
各権利について、次に説明します。
トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。
iManagerでは、プロパティ権の管理用に次の2つのオプションが用意されています。
各権利について、次に説明します。
ユーザは、明示的なトラスティ割り当て、継承、および同等セキュリティなどのさまざまな方法で権利を受け取ることができます。権利は、権利継承フィルタにより制限され、下位レベルのトラスティ割り当てによって変更、または取り消すこともできます。このような操作による最終的な結果、つまりユーザが実際に行使できる権利を、有効な権利といいます。
ユーザがいずれかの操作を実行しようとするたびに、該当のオブジェクトに対するそのユーザの有効な権利が計算されます。
ユーザがネットワークリソースにアクセスを試みるたびに、eDirectoryは次の手順でそのターゲットリソースに対するユーザの有効な権利を計算します。
eDirectoryはTreeオブジェクトのオブジェクトトラスティ(ACL)プロパティをチェックして、該当のトラスティが登録された項目があるかどうか調べます。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目に指定された権利を、該当のトラスティの有効な権利の初期セットとして使用します。
eDirectoryはこのレベルのACLをチェックし、該当のトラスティの有効な権利のタイプ(オブジェクト、すべてのプロパティ、または特定のプロパティ)と一致するIRF(権利継承フィルタ)がないか調べます。検出された場合は、eDirectoryは該当のトラスティの有効な権利から、これらのIRFによって継承を阻止されるすべての権利を削除します。
たとえば、上位のレベルで、トラスティの有効な権利にすべてのプロパティに対する書き込み権の割り当てが含まれていても、このレベルのIRFによってその継承を阻止された場合、すべてのプロパティに対する書き込み権はトラスティの有効な権利から削除されます。
eDirectoryはこのレベルのACLをチェックし、該当のトラスティが登録された項目があるかどうかチェックします。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目の権利をトラスティの有効な権利にコピーし、必要に応じて他の割り当てを無効化します。
たとえば、上位のレベルで、トラスティの有効な権利に作成および削除オブジェクト権が含まれ、プロパティ権についてはまったく含まれていないときに、このレベルのACLに、該当のトラスティに対する0オブジェクト権の割り当てとすべてのプロパティの書き込み権の割り当てが含まれている場合、トラスティの既存のオブジェクト権(作成および削除)は0権利と置き換えられ、新たにすべてのプロパティ権が追加されます。
eDirectoryは手順2dと同じ処理を行います。その結果作成される権利セットが、該当のトラスティの有効な権利になります。
権利の設定により、ターゲットリソースに対するユーザの有効な権利が作られます。
ユーザDJonesが、ボリュームAcctg_Volにアクセスしようとしています(図 20を参照してください)。
図 20次の手順は、eDirectoryがAcctg_Volに対するDJonesの有効な権利を計算する方法を示したものです。
ここでは、DJonesがどのグループまたは役割にも所属せず、どの同等セキュリティにも明示的に割り当てられていないと仮定しています。
Acctg_Volで0すべてのプロパティ権を割り当てられることで、Accountingでのすべてのプロパティに対する書き込み権の割り当ては無効化されます。
ツリーの最上位にあるすべてのプロパティに対する書き込み権の割り当ては、AccountingでのIRFによって除外されます。
Treeには、関連するどのツリー分岐でも、権利はまったく割り当てられません。
これらの権利はルートで割り当てられ、関連するツリー分岐のどの位置でも、フィルタリングも無効化もされません。
DJones:オブジェクトのブラウズ権、すべてのプロパティの読み込み権
DJones:オブジェクトのブラウズ権、すべてのプロパティの読み込み、比較権
有効な権利の計算方法では、IRFに頼らずに特定の権利を特定のユーザに対してブロックする方法は、必ずしも明確ではありません(IRFはすべてのユーザの権利をブロックします)。
特定の権利をIRFに頼らずにユーザに対してブロックするには、次のような方法があります。
同等セキュリティとは、別のオブジェクトと同じ権利を持つことを意味します。あるオブジェクト(オブジェクトA)を別のオブジェクト(オブジェクトB)と同等セキュリティにすると、オブジェクトAの有効な権利の計算時には、オブジェクトBの権利がオブジェクトAに追加されます。
たとえば、ユーザオブジェクトJoeをAdminオブジェクトと同等セキュリティにするとします。同等セキュリティを割り当てた後は、Joeは、ツリーおよびファイルシステムに対して、Adminが持つ権利と同じ権利を持つことになります。
同等セキュリティには、次の3つのタイプがあります。
同等セキュリティは、1ステップにかぎり有効です。たとえば、さらに別のユーザを上の例のJoeと同等セキュリティにした場合、このユーザはJoeの権利は受け取りますが、Adminの権利は受け取りません。
同等セキュリティは、該当のユーザオブジェクトの同等セキュリティプロパティの値としてeDirectoryに記録されます。
ユーザオブジェクトを職種オブジェクトにその職種の担当者として追加すると、そのユーザは自動的にその職種オブジェクトと同等セキュリティになります。ユーザをグループオブジェクトに追加した場合も同様です。
ACL(アクセス制御リスト)は、オブジェクトトラスティプロパティとも呼ばれます。トラスティを割り当てると、そのトラスティは値としてターゲットのオブジェクトトラスティ(ACL)プロパティに追加されます。
このプロパティは、次の理由から、ネットワークのセキュリティに大きく影響します。
このため、コンテナオブジェクトのすべてのプロパティに対して自己追加権を与える場合は、慎重に行う必要があります。自己追加権を割り当てられたトラスティは、該当のコンテナ、その中のすべてのオブジェクト、およびその下のコンテナ内のすべてのオブジェクトに対してスーパバイザとなることができます。
権利継承フィルタにより、eDirectoryツリーの下位レベルへの権利の継承をブロックできます。このフィルタの設定の詳細については、eDirectoryオブジェクトまたはプロパティへの権利継承をブロックするを参照してください。
新規サーバオブジェクトをツリーにインストールすると、次のトラスティ割り当てが作成されます。
eDirectoryでは、自分が管理するツリーの分岐に対する管理権を無効にして、その分岐の管理を他の人物に委託できます。たとえば、特別なセキュリティ要件により、ツリーの分岐を完全に制御する管理者を個別に置かなければならないような場合には、管理権の委託というこの方法をとることが必要になります。
管理権を委託するには、次を実行します。
委託先のユーザに、該当のコンテナに対するスーパーバイザオブジェクト権を与えます。
継承を阻止したいスーパバイザ権や他の権利をフィルタリングするためのIRFを、そのコンテナに対して作成します。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[権利継承フィルタの変更]の順にクリックします。
変更する権利継承フィルタを持つオブジェクトの名前およびコンテキストを指定して、[OK]をクリックします。
必要に応じて権利継承フィルタのリストを編集します。
フィルタのリストを編集するには、オブジェクトのACLプロパティへのスーパバイザ権またはアクセス制御権を持っている必要があります。オブジェクトの継承された権利を全体的にブロックするフィルタは、オブジェクトのすべてのプロパティおよび個々のプロパティに対して設定できます。
注: フィルタによって、このオブジェクトのトラスティに明示的に付加された権利がブロックされることはありません。これらの権利は継承されるものではないからです。
[OK]をクリックします。
重要: ユーザオブジェクトに管理を委託した後に、そのオブジェクトが削除されると、その分岐を管理する権利を持つオブジェクトはなくなります。
パスワードの管理など、特定のeDirectoryプロパティの管理を委託するには、同等セキュリティを付与するを参照してください。
ロールベース管理アプリケーションの特定の機能の使用を委託するには、役割ベースサービスを設定するを参照してください。
eDirectoryツリーでデフォルトで割り当てられた権利によって、ユーザが必要以上にリソースにアクセスできたり、アクセスが不十分であったりする場合は、権利を明示的に作成して割り当てたり、それを変更したりできます。権利の割り当てを作成または変更するには、まず最初にアクセスを制御しているリソースやトラスティ(権利を所有している、またはこれから所有するeDirectoryオブジェクト)を選択します。
ヒント: ユーザの権利を個々にではなく集団で管理するには、グループ、役割、またはコンテナオブジェクトをトラスティにします。すべてのユーザについてリソースへのアクセスを全体的に制限するには、eDirectoryオブジェクトまたはプロパティへの権利継承をブロックするを参照してください。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[トラスティの変更]の順にクリックします。
アクセスを制御するeDirectoryリソース(オブジェクト)の名前およびコンテキストを指定して、[OK]をクリックします。
コンテナの下のすべてのオブジェクトへのアクセスを制御するには、そのコンテナを選択します。
トラスティのリストおよび権利の割り当てを必要に応じて編集します。
トラスティの権利の割り当てを変更するには、トラスティを選択し、[割り当てられた権利]をクリックして、必要に応じて権利の割り当てを変更してから、[完了]をクリックします。
トラスティとしてオブジェクトを追加するには、[トラスティの追加]をクリックし、オブジェクトを選択し、[OK]をクリックします。次に、[割り当てられた権利]をクリックしてトラスティを割り当て、[完了]をクリックします。
権利の割り当てを作成または変更する場合、オブジェクト全体に対しても、オブジェクトのすべてのプロパティまたは個々のプロパティに対しても、アクセスを付与したり拒否したりすることができます。
トラスティとなっているオブジェクトを削除するには、そのトラスティを選択し、[トラスティの削除]をクリックします。
削除されたトラスティには、オブジェクトやプロパティに対する明示的な権利はすでにありませんが、継承や同等セキュリティによる有効な権利はまだ存在する可能性があります。
[OK]をクリックします。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[他のオブジェクトに対する権利]の順にクリックします。
権利を変更するトラスティ(権利を所有している、またはこれから所有するオブジェクト)の名前やコンテキストを入力します。
[検索範囲のコンテキスト]フィールドで、トラスティが現在権利を割り当てられているeDirectoryオブジェクトを検索するeDirectoryツリーの一部を指定します。
[OK]をクリックします。
検索の進行状況を表す画面が表示されます。検索が終了すると、[他のオブジェクトに対する権利]ページに検索結果が表示されます。
トラスティのeDirectory権利の割り当てを必要に応じて編集します。
権利の割り当てを追加するには、[オブジェクトの追加]をクリックし、アクセスを制御するオブジェクトを選択して、[OK]をクリックします。次に、[割り当てられた権利]をクリックして、トラスティの権利を割り当ててから[完了]をクリックします。
権利の割り当てを変更するには、アクセスを制御するオブジェクトを選択し、[割り当てられた権利]をクリックして、必要に応じてトラスティの権利の割り当てを変更してから、[完了]をクリックします。
権利の割り当てを作成または変更する場合、オブジェクト全体に対しても、オブジェクトのすべてのプロパティまたは個々のプロパティに対しても、アクセスを付与したり拒否したりすることができます。
権利の割り当てを削除するには、アクセスを制御するオブジェクトを選択して、[オブジェクトの削除]をクリックします。
トラスティには、オブジェクトやプロパティに対する明示的な権利はすでにありませんが、継承や同等セキュリティによる有効な権利はまだ存在する可能性があります。
[OK]をクリックします。
別のeDirectoryオブジェクトに対して同等セキュリティとなっているユーザは、事実上そのオブジェクトのすべての権利を持っています。ユーザは自動的に、所属するグループや役割に対して同等セキュリティになります。すべてのユーザは、[Public]トラスティ、およびTreeオブジェクトなど、eDirectoryツリーのユーザオブジェクトの上にある個々のコンテナに対して、暗黙で同等セキュリティとなります。また、任意のeDirectoryオブジェクトに対して同等セキュリティを明示的に付与することもできます。
注: このセクションのタスクを実行すると、eDirectory権利を通じて管理権限を委託することができます。ロールベースサービス(RBS)役割を使用する管理アプリケーションがある場合、それらの役割にユーザメンバーシップを割り当てることで管理権限を委託することもできます。
まだ完了していない場合は、ユーザを同等セキュリティにするグループまたは役割オブジェクトを作成します。
詳細については、オブジェクトを作成するを参照してください。
グループや役割に、ユーザに必要なeDirectory権利を与えます。
詳細については、権利を明示的に割り当てるを参照してください。
グループや役割のメンバーシップを編集して、グループや役割の権利を必要とするユーザを追加します。
Novell iManagerで、[eDirectory管理]>[オブジェクトの変更]の順にクリックし、グループオブジェクトの名前とコンテキストを指定して[OK]をクリックし、次に[メンバー]タブをクリックします。
Novell iManagerで、[eDirectory管理]>[オブジェクトの変更]の順にクリックし、rbsRoleオブジェクトの名前とコンテキストを指定して[OK]をクリックし、次に[全般]タブで[担当者]をクリックします。
Novell iManagerで、[設定]ボタンをクリックし、[役割の設定]>[iManagerの役割を変更]の順にクリックします。次に、変更する役割の左にある[メンバーの変更]ボタンをクリックしてから、[iManagerのメンバーを変更]ページのオプションを使用して役割のメンバーを追加または削除します。
[OK]をクリックします。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[eDirectory管理]>[オブジェクトの変更]の順にクリックします。
ユーザを同等セキュリティとするユーザまたはオブジェクトの名前およびコンテキストを入力して、[OK]をクリックします。
[セキュリティ]タブをクリックし、次のように同等セキュリティを付与します。
これらの2つのプロパティページのコンテキストは、システムによって同期されます。
[OK]をクリックします。
まだ完了していない場合、オブジェクト固有のプロパティのトラスティを作成するユーザ、グループ、役割、またはコンテナオブジェクトを作成します。
トラスティとしてコンテナを作成する場合、コンテナ内またはその下のすべてのオブジェクトに権利が付与されます。プロパティは継承可能なものにする必要があります。そうしないと、コンテナおよびそのメンバーは下位レベルへの権利を持たなくなります。
詳細については、オブジェクトを作成するを参照してください。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[トラスティの変更]の順にクリックします。
管理者による管理を必要とする最高レベルのコンテナの名前とコンテキストを指定し、[OK]をクリックします。
[トラスティの変更]ページで、[トラスティの追加]をクリックし、管理者を表すオブジェクトを選択して[OK]をクリックします。
追加したトラスティの[割り当てられた権利]をクリックし、[プロパティの追加]をクリックします。
プロパティリストに追加するプロパティを選択して、[OK]をクリックします。
管理者が管理するそれぞれのプロパティについて、必要な権利を割り当てます。
それぞれの権利の割り当ての[継承可能]チェックボックスをオンにします。
[完了]をクリックし、[OK]をクリックします。
eDirectoryでは、コンテナの権利の割り当ては、継承可能な場合とそうでない場合があります。NetWareのファイルシステムでは、フォルダ上のすべての権利の割り当ては継承可能です。eDirectoryおよびNetWareでは、個々の下位アイテムについてこのような継承をブロックして、トラスティになるユーザに関係なく、これらのアイテム上では権利を無効にすることができます。例外として、NetWareファイルシステムではスーパバイザ権はブロックできません。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[権利継承フィルタの変更]の順にクリックします。
変更する権利継承フィルタを持つオブジェクトの名前およびコンテキストを指定して、[OK]をクリックします。
これで、すでにオブジェクトに設定された権利継承フィルタのリストが表示されます。
プロパティページで、必要に応じて権利継承フィルタのリストを編集します。
フィルタのリストを編集するには、オブジェクトのACLプロパティへのスーパバイザ権またはアクセス制御権を持っている必要があります。オブジェクトの継承された権利を全体的にブロックするフィルタは、オブジェクトのすべてのプロパティおよび個々のプロパティに対して設定できます。
注: フィルタによって、このオブジェクトのトラスティに明示的に付加された権利がブロックされることはありません。これらの権利は継承されるものではないからです。
[OK]をクリックします。
有効な権利は、ユーザが特定のネットワークリソース上で実行できる実際の権利です。有効な権利は、明示的な権利の割り当て、継承、および同等セキュリティを基に、eDirectoryによって計算されます。システムにクエリを設定すると、リソースへのユーザの有効な権利が決定されます。
Novell iManagerで、[役割およびタスク]ボタンをクリックします。
[権利]>[有効な権利の表示]の順にクリックします。
参照する有効な権利を持つトラスティの名前とコンテキストを入力し、[OK]をクリックします。
次のオプションから選択します。
[完了]をクリックします。