ディレクトリアシスタントと命名規則
ディレクトリに対してディレクトリアシスタントを設定する場合は、そのディレクトリにあるユーザー名に対応する命名規則を少なくとも 1 つ定義します。命名規則は、X.500 識別名モデルに基づいています。このモデルでは、国 (c)、組織 (o)、組織単位 (ou) からなるディレクトリツリーの名前階層を使用して名前を要素に分割し、各要素の組み合わせでディレクトリツリーにある一意のロケーションを表します。これは、Domino® および Notes® が従来使用していた命名モデルでもあります。
各ディレクトリアシスタントの命名規則は 6 つの部分からなり、各部分には次のいずれかが含まれます。
- ディレクトリツリーの特定の分岐の名前。たとえば、組織 Renovations や組織単位 Sales です。
- アスタリスク (*)。ディレクトリツリーの名前階層の特定のレベルにあるすべての分岐を表します。
- NULL 文字 (何も入力しないかスペース 1 つ)。ディレクトリツリーの名前階層の特定のレベルにあるすべての分岐を除外します。
一般には、ディレクトリ内のすべての名前を表すために、すべてがアスタリスクである規則 (*/ */ */ */ */ */ *
) をディレクトリに割り当てます。ただし、ディレクトリアシスタントで設定されているディレクトリで個別の名前階層を使用している場合は、サーバーが特定の名前を検索するときに対象ディレクトリを絞れるように、その階層に適合するディレクトリ規則を定義すると便利です。
たとえば、ある [ディレクトリアシスタント] データベースでディレクトリ A とディレクトリ B が設定されているとします。ディレクトリ A にある名前は o=renovations, c=us に該当するため、*/ */ */ */ renovations/us
という規則を指定します。ディレクトリ B にある名前は o=renovations,c=fr に該当するため、*/ */ */ */ renovations/fr
という規則を指定します。cn=jack brown,o=renovations,c=fr という名前を探す場合、サーバーはディレクトリ B のみを検索し、ディレクトリ A は検索しません。cn=joan brown,o=renovations,c=us という名前を探す場合は、ディレクトリ A のみを検索し、ディレクトリ B は検索しません。
このような対象ディレクトリを絞った検索が可能なのは、次のような場合です。
- サーバーが Notes® メッセージのアドレスフィールドにある階層名を探してアドレスを解決する場合。
- LDAP サービスを実行するサーバーが、検索ベースを指定する、LDAP クライアントによる検索操作を処理する場合。
- LDAP サービスを実行するサーバーが、LDAP クライアントによる追加、削除、変更、比較の各操作を処理する場合。
- インターネットクライアントがサーバーにログオンして認証を開始するときに渡す階層ログオン名をサーバーが検索する場合。
Domino® は、ネストされたグループを検索するためにディレクトリアシスタント名ルールを適用しないことに注意してください。グループの DN が、グループ展開が有効になっている 2 次ディレクトリ用に確立された名前ルールに一致する場合もありますが、そのグループのメンバー (ユーザーまたはネストされたグループ) の DN は一致しません。この場合、ディレクトリアシスタント名前ルールを使用しないことによって問題は回避され、各検索対象に対して完全な名前リストを戻せるようになります。
階層なしの名前 (識別部分がない名前) を検索する場合や、検索ベースを指定しない LDAP 検索要求を処理する場合、サーバーは命名規則を無視し、ディレクトリアシスタント文書で目的のディレクトリについて指定された検索順序に従ってそのディレクトリを検索します。
信頼できる命名規則
インターネットクライアントがサーバーにログオン名を渡して認証を開始する場合、サーバーは、ディレクトリアシスタントデータベースで設定されたディレクトリでその名前を検索します。ただしこれは、[資格情報を信頼] の命名規則 (信頼される規則) がそのディレクトリに少なくとも 1 つ設定されている場合に限られます。クライアントのログオン名が階層型の場合、サーバーがその名前を検索するディレクトリは、1 次 Domino® ディレクトリの他は、信頼できる規則とクライアントのログオン名が一致するディレクトリのみです。クライアントログオン名が John Smith のように階層なしの場合、サーバーは、信頼できる規則があるすべてのディレクトリでその名前を検索します。
サーバーは、ディレクトリ内のあるユーザーエントリでクライアントのログオン名を見つけると、そのユーザーエントリに割り当てられた識別名を、そのディレクトリに対して定義された信頼できる規則と比較します。そして、識別名と信頼できる規則が一致する場合にのみ、そのクライアントを認証します。クライアント認証にリモート LDAP ディレクトリを使用し、そのディレクトリに Notes® 識別名を追加した場合は、元の LDAP 識別名ではなく、Notes® 識別名がそのディレクトリの信頼できる規則と一致する必要があります。
命名規則の例
次のリストに示す名前の例は、命名規則に応じて、含められたり除外されたりします。これらのサンプル名が各ルールでどのように含まれるか、除外されるかを、以下の表に示します。
- Marilyn Jenkins/Omega
- Alan Jones/Sales/East/Renovations/US
- Randi Bowker/Marketing/East/Renovations/US
- Cheryl Lordan/IS/West/Renovations/US
- Derek Malone/Accounting/West/Renovations/US
- Deborah Jones/West/Renovations/US
- Karen Lessing/West/Renovations/DE
表 1. 命名規則によってどのようにサンプル名が含められるか、除外されるかを示す例 ルール
包含
除外される名前
*/*/*/*/*/*
ディレクトリ内のすべての名前
なし
/ / */ */Renovations/*
Alan Jones/Sales/East/Renovations/US
Randi Bowker/Marketing/East/Renovations/US
Cheryl Lordan/IS/West/Renovations/US
Derek Malone/Accounting/West/Renovations/US
Deborah Jones/West/Renovations/US
Karen Lessing/West/Renovations/DE
Marilyn Jenkins/Omega
/ / */West/Renovations/*
Cheryl Lordan/IS/West/Renovations/US
Derek Malone/Accounting/West/Renovations/US
Deborah Jones/West/Renovations/US
Karen Lessing/West/Renovations/DE
Marilyn Jenkins/Omega
Alan Jones/Sales/East/Renovations/US
Randi Bowker/Marketing/East/Renovations/US
/ / /West/Renovations/*
Deborah Jones/West/Renovations/US
Karen Lessing/West/Renovations/DE
Marilyn Jenkins/Omega
Alan Jones/Sales/East/Renovations/US
Randi Bowker/Marketing/East/Renovations/US
Cheryl Lordan/IS/West/Renovations/US
Derek Malone/Accounting/West/Renovations/US
/ / */West/Renovations/DE
Karen Lessing/West/Renovations/DE
Marilyn Jenkins/Omega
Alan Jones/Sales/East/Renovations/US
Randi Bowker/Marketing/East/Renovations/US
Cheryl Lordan/IS/West/Renovations/US
Derek Malone/Accounting/West/Renovations/US
Deborah Jones/West/Renovations/US
/ /IS/West/Renovations/*
Cheryl Lordan/IS/West/Renovations/US
Marilyn Jenkins/Omega
Alan Jones/Sales/East/Renovations/US
Randi Bowker/Marketing/East/Renovations/US
Derek Malone/Accounting/West/Renovations/US
Deborah Jones/West/Renovations/US
Karen Lessing/West/Renovations/DE