dominoAccessGroups オペレーション属性

dominoAccessGroups オペレーション属性は、オブジェクトが属するセキュリティ (ACL) グループを表す LDAP DN を返します。

dominoAccessGroups を使用すると、LDAP 要求/応答が 1 つで済むため、オブジェクトが属するグループやネストしたグループの数に関係なく、パフォーマンスを向上させることができます。Domino® LDAP サーバーは、既存のグループキャッシュ (名前リスト用) を利用できます。

dominoAccessGroups を使用すると、他の LDAP クライアントアプリケーションは再帰検索を実行する必要がなくなり、アプリケーションの複雑さが緩和されます。

LDAP クライアントは、ルート DSE の ibm-enabledCapabilities 属性を照会し、dominoAccessGroups の OID 2.16.840.1.113678.2.2.2.2.1355 がサポートされているかどうかを確認して、LDAP サーバーが dominoAccessGroups に対応できるかどうかを判別する必要があります。

[C:] ldapsearch -h hostname -s base "(objectclass=*)" ibm-enabledCapabilities
 
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1354
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1355

ibm-ibm-enabledCapabilities 属性の詳細の詳細については、「LDAP ルート DSE 属性」を参照してください。

dominoAccessGroups を使用すると所属するグループの全体の計算は高速になりますが、1 つの検索のみで、ネストした複数のグループ検索のそれぞれで使用されていた LDAP タイムアウトを超えてしまうこともあります。dominoAccessGroups を返す検索でタイムアウトになる場合は、Domino® ドメインのデフォルトの設定文書の LDAP タイムアウト値を大きくします。