eDirectoryでの権利

ツリーを作成すると、デフォルトの権利割り当によって、汎用アクセスとセキュリティがネットワークに提供されます。デフォルトの割り当てには、次のようなものがあります。


トラスティ割り当ておよびターゲット

権利の割り当てには、トラスティとターゲットとなるオブジェクトが関係します。トラスティとは、認証されているユーザまたはユーザのグループを表します。ターゲットとは、ユーザが権利を持っているネットワークリソースです。

ConsoleOneユーザガイド』の「管理の基本」を参照してください。

[Public]トラスティは、オブジェクトではありません。すべてのネットワークユーザに対して与えられる、権利割り当てに関連するトラスティです。


eDirectoryでの権利の概念

eDirectoryでの権利についてより良く理解していただくために、次に各権利についての概念を説明します。


オブジェクト(エントリ)権

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。オブジェクト権は、eDirectoryデータベース内でエントリが提供されるため、エントリ権と呼ばれます。

各権利について、次に説明します。


プロパティ権

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。

ConsoleOneでは、プロパティ権の管理用に次の2つのオプションが用意されています。

各プロパティ権について、次に説明します。


有効な権利

ユーザは、明示的なトラスティ割り当て、継承、および同等セキュリティなどのさまざまな方法で権利を受け取ることができます。権利は、権利継承フィルタにより制限され、下のレベルのトラスティ割り当てによって変更、または取り消すこともできます。このような操作による最終的な結果、つまりユーザが実際に行使できる権利を、有効な権利といいます。

ユーザがいずれかの操作を実行しようとするたびに、該当のオブジェクトに対するそのユーザの有効な権利が計算されます。


eDirectoryによる有効な権利の計算

ユーザがネットワークリソースにアクセスを試みるたびに、eDirectoryは次の手順でそのターゲットリソースに対するユーザの有効な権利を計算します。

  1. 計算で考慮される権利を持ったトラスティをリストします。次に、それらの機能について説明します。
    • ターゲットリソースにアクセスしようとしているユーザ
      •
    • ユーザが同等セキュリティとなっているオブジェクト
      •

  2. リスト内の各トラスティに対して、次のように有効な権利を決定します。
    1. まず、ツリーの最上位に対してトラスティが継承可能な権利を持っているかどうかチェックします。

      eDirectoryはTreeオブジェクトのオブジェクトトラスティ(ACL)プロパティをチェックして、該当のトラスティが登録された項目があるかどうか調べます。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目に指定された権利を、該当のトラスティの有効な権利の初期セットとして使用します。

      2.
    2. ツリー内の、ターゲットリソースが含まれている分岐を1レベル下に移動します。
      3.
    3. このレベルでフィルタリングされるすべての権利を削除します。

      eDirectoryはこのレベルのACLをチェックし、該当のトラスティの有効な権利のタイプ(オブジェクト、すべてのプロパティ、または特定のプロパティ)と一致するIRF(権利継承フィルタ)がないか調べます。検出された場合は、eDirectoryは該当のトラスティの有効な権利から、これらのIRFによって継承を阻止されるすべての権利を削除します。

      たとえば、上位のレベルで、トラスティの有効な権利にすべてのプロパティに対する書き込み権の割り当てが含まれていても、このレベルのIRFによってその継承を阻止された場合、すべてのプロパティに対する書き込み権はトラスティの有効な権利から削除されます。

      4.
    4. このレベルで割り当てられた継承可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      eDirectoryはこのレベルのACLをチェックし、該当のトラスティが登録された項目があるかどうかチェックします。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目の権利をトラスティの有効な権利にコピーし、必要に応じて他の割り当てを無効化します。

      たとえば、上位のレベルで、トラスティの有効な権利に作成および削除オブジェクト権が含まれ、プロパティ権についてはまったく含まれていないときに、このレベルのACLに、該当のトラスティに対する0オブジェクト権の割り当てとすべてのプロパティの書き込み権の割り当てが含まれている場合、トラスティの既存のオブジェクト権(作成および削除)は0権利と置き換えられ、新たにすべてのプロパティ権が追加されます。

      5.
    5. ツリーの各レベル(ターゲットリソースのレベルを含む)で、フィルタリングと追加の手順(cおよびd)を繰り返します。
      6.
    6. ターゲットリソースで割り当てられた継承不可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      eDirectoryは手順2dと同じ処理を行います。その結果作成される権利セットが、該当のトラスティの有効な権利になります。

      7.
  3. リスト内のすべてのトラスティの有効な権利を次のように結合します。
    1. eDirectoryはりスト内のいずれかのトラスティが所有している権利をすべて含めます。リスト内のどのトラスティも所有していない権利のみ除外します。権利タイプは混在させません。たとえば、特定のプロパティに対する権利を、すべてのプロパティに対する権利に追加したり、その逆を行うことはありません。
      2.
    2. 現在有効な権利に暗黙的に含まれる権利を追加します。

      権利の設定により、ターゲットリソースに対するユーザの有効な権利が作られます。

      3.

ユーザ「DJones」が、ボリューム「Acctg_Vol」にアクセスしようとしています。「図 22」を参照してください。

図 22
トラスティ権のサンプル

次の手順は、eDirectoryがAcctg_Volに対するDJonesの有効な権利を計算する方法を示したものです。

  1. 計算で考慮される権利を持ったトラスティは、DJones、Marketing、Tree、および[Public]です。

    ここでは、DJonesがどのグループまたは職種にも所属せず、どの同等セキュリティにも明示的に割り当てられていないと仮定しています。

    2.
  2. 各トラスティの有効な権利は、次のとおりです。
    • DJones:0オブジェクト、0すべてのプロパティ

      Acctg_Volでのすべての0プロパティ権に対する割り当てによって、Accountingでのすべてのプロパティに対する書き込み権の割り当ては無効化されます。

      •

    • Marketing:0すべてのプロパティ

      ツリーの最上位にあるすべてのプロパティに対する書き込み権の割り当ては、AccountingでのIRFによって除外されます。

    • Tree:権利なし

      Treeには、関連するどのツリー分岐でも、権利はまったく割り当てられません。

    • [Public]: オブジェクトのブラウズ権、すべてのプロパティの読み込み権

      これらの権利はルートで割り当てられ、関連するツリー分岐のどの位置でも、フィルタリングも無効化もされません。

    3.
  3. これらすべてのトラスティの権利を結合することによって、次のようになります。

    DJones:オブジェクトのブラウズ権、すべてのプロパティの読み込み権

    4.
  4. すべてのプロパティの読み込み権に伴って暗黙的に割り当てられるすべてのプロパティの比較権を追加することで、最終的にAcctg_Volに対するDJonesの有効な権利は次のようになります。

    DJones:オブジェクトのブラウズ権、すべてのプロパティの読み込み、比較権

    5.

有効な権利のブロック

有効な権利の計算方法では、IRFに頼らずに特定の権利を特定のユーザに対してブロックする方法は、必ずしも明確ではありません(IRFはすべてのユーザの権利をブロックします)。

特定の権利をIRFに頼らずにユーザに対してブロックするには、次のような方法があります。


同等セキュリティ

同等セキュリティとは、別のオブジェクトと同じ権利を持つことを意味します。あるオブジェクト(オブジェクトA)を別のオブジェクト(オブジェクトB)と同等セキュリティにすると、オブジェクトAの有効な権利の計算時には、オブジェクトBの権利がオブジェクトAに追加されます。

たとえば、ユーザオブジェクトJoeをAdminオブジェクトと同等セキュリティにするとします。同等セキュリティを割り当てた後は、Joeは、ツリーおよびファイルシステムに対して、Adminが持つ権利と同じ権利を持つことになります。

同等セキュリティには、次の3つのタイプがあります。

同等セキュリティは、1ステップにかぎり有効です。たとえば、さらに別のユーザを上の例のJoeと同等セキュリティにした場合、このユーザはJoeの権利は受け取りますが、Adminの権利は受け取りません。

同等セキュリティは、該当のユーザオブジェクトの同等セキュリティプロパティの値としてeDirectoryに記録されます。

ユーザオブジェクトを職種オブジェクトにその職種の担当者として追加すると、そのユーザは自動的にその職種オブジェクトと同等セキュリティになります。ユーザをグループオブジェクトに追加した場合も同様です。


ACL(アクセス制御リスト)

ACL(アクセス制御リスト)は、オブジェクトトラスティプロパティとも呼ばれます。トラスティを割り当てると、そのトラスティは値としてターゲットのオブジェクトトラスティ(ACL)プロパティに追加されます。

このプロパティは、次の理由から、ネットワークのセキュリティ上、重大な影響をもたらします。

このため、コンテナオブジェクトのすべてのプロパティに対する自己追加権を与える場合は、慎重に行う必要があります。自己追加権を割り当てられたトラスティは、該当のコンテナ、その中のすべてのオブジェクト、およびその下のコンテナ内のすべてのオブジェクトに対してスーパバイザとなることができます。


IRF(権利継承フィルタ)

権利継承フィルタにより、eDirectoryツリーの下位レベルへの権利の継承をブロックできます。このフィルタの設定方法の詳細については、『ConsoleOneユーザガイド』の「権利の管理」の「継承の阻止」を参照してください。


新規サーバのデフォルト権

新規サーバオブジェクトをツリーにインストールすると、次のトラスティ割り当てが作成されます。


表 18. トラスティ割り当て

デフォルトトラスティ デフォルト権

Admin(ツリー内の最初のeDirectoryサーバ)

Treeオブジェクトに対するスーパバイザオブジェクト権。

Adminは、NetWareサーバオブジェクトに対してスーパバイザオブジェクト権を持ちます。これは、Adminがサーバ上に存在するあらゆるボリュームのファイルシステムのルートディレクトリに対してもスーパバイザ権を持つことを意味します。

[Public](ツリー内の最初のeDirectoryサーバ)

Treeオブジェクトに対するブラウズオブジェクト権。

Tree

すべてのボリュームオブジェクトのホストサーバ名プロパティおよびホストリソースプロパティに対するTree読み込みプロパティ権。

これにより、すべてのオブジェクトが物理ボリューム名および物理サーバ名にアクセスできるようになります。

コンテナオブジェクト

SYS: \PUBLICに対する読み込みおよびスキャン権。これにより、コンテナの下のユーザオブジェクトは、\PUBLICのNetWareユーティリティにアクセスできるようになります。

ユーザオブジェクト

ユーザ用にホームディレクトリが自動的に作成されると、ユーザにはそのディレクトリに対するスーパバイザ権が与えられます。

管理の委託

eDirectoryでは、自分が管理するツリーの分岐に対する管理権を無効にして、その分岐の管理を他の人物に委託できます。たとえば、特別なセキュリティ要件により、対象の分岐を完全に制御する管理者を個別に置かなければならないような場合には、管理権の委託というこの方法をとることが必要になります。

管理権を委託するには、次を実行します。

  1. 委託先のユーザに、該当のコンテナに対するスーパバイザオブジェクト権を与えます。

    2.

  2. 継承を阻止したいスーパバイザ権や他の権利をフィルタリングするためのIRFを、そのコンテナに対して作成します。

    3.

重要:  ユーザオブジェクトに管理を委託した後に、そのオブジェクトが削除されると、その分岐を管理する権利を持つオブジェクトはなくなります。

個々のeDirectoryプロパティの管理(パスワード管理など)を委託する方法については、『ConsoleOneユーザガイド』の「同等セキュリティの付与」を参照してください。

ロールベースの管理アプリケーションにおける個別機能の使用を委託する方法については、『ConsoleOneユーザガイド』の「ロールベース管理の設定」を参照してください。