dominoAccessGroups オペレーション属性
dominoAccessGroups
オペレーション属性は、オブジェクトが属するセキュリティ (ACL) グループを表す LDAP DN を返します。
dominoAccessGroups
を使用すると、LDAP 要求/応答が 1 つで済むため、オブジェクトが属するグループやネストしたグループの数に関係なく、パフォーマンスを向上させることができます。Domino® LDAP サーバーは、既存のグループキャッシュ (名前リスト用) を利用できます。
dominoAccessGroups
を使用すると、他の LDAP クライアントアプリケーションは再帰検索を実行する必要がなくなり、アプリケーションの複雑さが緩和されます。
LDAP クライアントは、ルート DSE の ibm-enabledCapabilities
属性を照会し、dominoAccessGroups
の OID 2.16.840.1.113678.2.2.2.2.1355
がサポートされているかどうかを確認して、LDAP サーバーが dominoAccessGroups
に対応できるかどうかを判別する必要があります。
[C:] ldapsearch -h hostname -s base "(objectclass=*)" ibm-enabledCapabilities
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1354
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1355
ibm-ibm-enabledCapabilities
属性の詳細の詳細については、「LDAP ルート DSE 属性」を参照してください。
dominoAccessGroups
を使用すると所属するグループの全体の計算は高速になりますが、1 つの検索のみで、ネストした複数のグループ検索のそれぞれで使用されていた LDAP タイムアウトを超えてしまうこともあります。dominoAccessGroups
を返す検索でタイムアウトになる場合は、Domino® ドメインのデフォルトの設定文書の LDAP タイムアウト値を大きくします。