LDAP に対する動的グループとネストされたグループのサポート

動的グループおよびネストされたグループは、WebSphere® Application Server セキュリティー管理を単純化して、その有効性と柔軟性を高めます。

動的グループには、グループ名と以下のメンバーシップ基準が含まれています。
  • グループ・メンバーシップ情報は、 ユーザー・オブジェクト上の情報と同様に最新情報です。
  • グループ・オブジェクト上のメンバーを手動で保守する必要はありません。
  • あるユーザーがグループのメンバーであるかどうかを調べるために、アプリケーションが ディレクトリーから大量の情報を取得する必要がないように、動的グループが設計されています。

ネストされたグループ を使用すると、 継承されたグループ・メンバーシップの定義に使用される階層関係を作成できます。 ネストされたグループは、 エントリーの識別名 (DN) が親グループのエントリー属性によって参照される子グループのエントリーとして定義されます。

すべてのネストされたグループが同一の特権を共有する場合は、 より大きい親グループを割り当てるだけで済みます。 ロールを単一の親グループに割り当てると、ランタイム許可テーブルが単純になります。

IBM Tivoli Directory Server 用の動的グループおよびネストされたグループのサポート

WebSphere Application Server は、IBM® Tivoli® Directory Server を使用する場合に、Lightweight Directory Access Protocol (LDAP) のすべての動的グループおよびネストされたグループをサポートします。 この機能は、IBM Tivoli Directory Server の新規フィーチャーを利用して、デフォルトで使用可能になっています。 IBM Tivoli Directory Server は、動的および再帰的なメンバーシップを含む、ユーザーのすべてのグループ・メンバーシップを自動的に計算する ibm-allGroups 下方参照グループ属性を使用します。 セキュリティーは、すべてのグループを間接的に検索してグループ・メンバーと突き合わせるのではなく、 ユーザー・オブジェクトから、ユーザー・グループ・メンバーシップを直接検索します。

詳しくは、IBM Tivoli Directory Server 用の動的およびネストされたグループ・サポートの構成を参照してください。

[IBM i]グループを作成する際、 ネストされたグループ・メンバーシップおよび動的グループ・メンバーシップが確実に正しく機能するようにします。

SunONE または iPlanet Directory Server の動的およびネストされたグループのサポート

SunONE または iPlanet Directory Server は、以下の 2 つのグループ化メカニズムを使用します。
グループ
他のエントリーを、メンバーのリストとして、またはメンバーのフィルターとして名前を指定するエントリー。
ロール
他のエントリーを、メンバーのリストとして、またはメンバーのフィルターとして名前を指定するエントリー。 個々のロール・メンバー上で nsrole 属性を生成すると、追加の機能が表示されます。
以下の 3 つのタイプのロールが使用可能です。
フィルタリングされたロール
各エントリーに含まれる属性に依存します。指定された Lightweight Directory Access Protocol (LDAP) フィルターと一致する場合、エントリーはメンバーです。このロールは動的グループと同等です。
ネストされたロール
他のロールを含んだロールを作成します。 このロールは、ネストされたグループと同等です。
管理対象のロール
ロールを明示的にメンバー・エントリーに割り当てます。 このロールは静的グループと同等です。

詳しくは、SunONE または iPlanet Directory Server の動的およびネストされたグループ・サポートの構成を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_dynamicnestedgroup
ファイル名:csec_dynamicnestedgroup.html