- ベストアンサー
ldapにおけるアクセスコントロールについて
ldapの設定ファイル、 slapd.confで、 access to * by anonymous auth というように書くと、全てアクセスにおける認証を許可できる・・・。 そうですが、 認証を許可ってつまりどういうことですか? ログイン出来るってことですか? ちなみに使っているOSはLinuxです。 参考URL http://gihyo.jp/admin/serial/01/ldap/0010
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>認証を許可 その、言葉の意味の通りです。参考URLのサンプルだと最後に「by * read」が付いていますが、Windows風に言えば読み取り許可です。これが、その階層で許可されていると言うことです。どこに記載されているのか分かりませんが、 http://e-words.jp/w/E8AA8DE8A8BC.html で説明されるような一般的な、その単語の認識からすれば、「認証」とは、リソースを使用するために、IDとパスワードを検証し、そのリソースを利用可能かどうか精査する仕組みです。LDAPはあなたが示したURLに在るとおり、 サブツリーごとに 管理者(通常ドメインごと)を設定でき、LDAPで管理されるユーザーのアクセスコントロールを細かく設定できます。 コントロールとは、例えば 「認証の結果、アクセスを許された。」 これは、存在するユーザーIDで、パスワード認証がOKになっただけです。しかし、あなたが指摘されたような箇所で、読み取りだけ許可されている場合、「追加」「削除」「更新」作業が、その指定されたツリーの階層でできません。 全て禁止すれば、つまり、認証はOKだが、そのツリーへアクセスは許可していません。何もコントロールする権限をシステムから与えられていません。となる。LDAPはツリー構造へのアクセスコントロールと、そのツリーのリソース(オブジェクト)その物のコントロールが基本機能です。 以上のように「認証を許可」と言えば、こうとれるよ、と言うお話をしました。 しかし、参考URLの文書をみれば 「特定のDNからであれば認証のみ許可するがエントリは参照させない」 と記載があります。この部分をいっているのですよね。「認証を許可」とはちょっと違う気がしますが? そのまま読めば、そのまま記載事項で説明がされているとかと思いますよ。とりあえず、一度、触ってみれば、イメージが簡単かと思います。Windowsの中でも、同じような設定は可能です。ぜひ複数ユーザーを用意して、フォルダーなどのプロパティでセキュリティー設定で、詳細なアクセスコントロールをお試しください。詳細では、単純な、読み取り実行権ではありません。 ちなみに、 OpenLDAP をコントロールするという事ですか? それとも一般的な話をしているのでしょうか? 最初に固有名詞を記載し、特定すべきですね。 UNIX系のソフトですので、設定はファイルベースですが、ほとんどのこの手のサーバー系には現在GUIが付属しています。それで設定する事をお勧めします。 (http://www.openldap.org/doc/ http://www.openldap.org/doc/admin24/monitoringslapd.html#Accessing Monitoring Information に記載されている事だと思うが)
