LDAP を使用して LDAP サービスの対象ディレクトリを変更する

デフォルトにより、LDAP サービスでは、LDAP クライアントは LDAP サービスの対象ディレクトリを変更できません。

このタスクについて

ただし、次のどのディレクトリについても、LDAP 書き込みアクセスを有効にして、必要なデータベースアクセス権を持つ LDAP ユーザーに次のディレクトリの変更を許可できます。

  • LDAP サービスの 1 次 Domino® ディレクトリ
  • LDAP サービスが提供する 2 次 Domino® ディレクトリまたは拡張ディレクトリカタログ

LDAP 書き込みアクセスは、ディレクトリごとに個別に制御できます。例えば、1 次 Domino® ディレクトリについては書き込みアクセスを有効にし、拡張ディレクトリカタログについては書き込みアクセスを無効のままにしておくことができます。

注: LDAP サービスの対象となっている要約ディレクトリカタログに対しては、LDAP 書き込みアクセスを有効にすることはできません。

ディレクトリに対して LDAP 書き込みアクセスを有効にする場合は、次の点を念頭に置いてください。

手順

  1. Domino® LDAP 書き込み操作を実行するためのツールは用意されていないので、新たに開発するか、入手する必要があります。
  2. LDAP 書き込みアクセスを許可するには、ディレクトリのデータベース ACL を使用し、必要に応じて拡張 ACL を併用して、LDAP ユーザーがディレクトリを変更できる範囲を制御します。
  3. LDAP 経由で実行されるディレクトリの変更がディレクトリのスキーマに準拠するように、LDAP サービスのスキーマチェックを有効にします。デフォルトではスキーマチェックは無効になっていますが、LDAP 書き込み操作を許可するのであれば、ディレクトリ内容の一貫性を保つためにスキーマチェックを有効にすることをお勧めします。
  4. システム管理プロセスのサーバータスクは、LDAP 書き込み操作に応答しません。たとえば、LDAP ユーザーがユーザー文書を削除しても、システム管理プロセスは、それに関連付けられたユーザー名をデータベース ACL から削除しません。
  5. LDAP サービスを実行しているサーバーに 2 次 Domino® ディレクトリまたは拡張ディレクトリカタログがローカルに格納されている場合に限り、LDAP サービスは、それらのディレクトリで LDAP 書き込み操作を実行できます。LDAP サービスは、リモートサーバーにある Domino® ディレクトリへの書き込み操作要求を受信すると、LDAP 参照先をクライアントに送信します。LDAP サービスは、そのクライアントが参照する先をそのディレクトリのシステム管理サーバーに変更します。指定したシステム管理サーバーがない場合、LDAP サービスは、クライアントが参照する先をそのディレクトリを格納しているリモートサーバーに変更します。その後は、クライアント自身がその参照先をたどります。
  6. ディレクトリエントリの識別名は、256 文字以内です。識別名は、標準の Notes® 命名モデルである組織単位 (ou)、組織 (o)、国 (c) に準拠している必要はありません。たとえば、以下のような識別名が使用可能です。
    • dn: cn=Jay Walker + uid=123456,u=Sales,o=Widget Inc.,c=GB
    • dn: foo=Bar, o=Renovations
    • dn: cn=L. Eagle,o=Sue\, Grabbit and Runn,c=GB
    注: このような名前は、Notes® ユーザーが混乱する場合があるため、LDAP 経由でのみアクセスするエントリに対して主に使用することをお勧めします。
  7. ディレクトリに 100 以上のエントリをまとめて追加する場合は、事前に NOTES.INILDAPBatchAdds を設定すると高速な追加処理が実現します。追加処理完了後に、この設定は無効にします。
  8. エントリの構造化オブジェクトクラスの属性値は変更できません。