ディレクトリへの匿名 LDAP 検索アクセス権を設定する
LDAP サービスの TCP/IP または TLS ポート設定で許可されている場合は、ディレクトリーに対して匿名 LDAP アクセス権を設定することができます。
If the TCP/IP and/or TLS port configuration for the LDAP service allows anonymous LDAP access, use one of these methods to specify which information anonymous LDAP users can search in an HCL Domino® Directory or an Extended Directory Catalog served by the LDAP service:
- ドメイン設定文書
- データベース ACL と拡張 ACL
LDAP サービスの対象の各ディレクトリに対し、匿名検索アクセス権を個別に指定します。
ドメイン設定文書
The default method used to determine search access for anonymous LDAP users is the Choose fields that anonymous users can query via LDAP setting on the LDAP tab of a domain Configuration Settings document in a Domino® Directory or Extended Directory Catalog. The LDAP service uses the default settings in this document as the default anonymous search access, even if you do not create the document.
[匿名ユーザーが LDAP で検索可能なフィールドの選択] 設定を変更することにより、匿名 LDAP ユーザーの検索アクセス権をカスタマイズできます。
データベース ACL と拡張 ACL
ドメイン設定文書を使用する代わりに、データベース ACL と拡張 ACL を併用して、ディレクトリに対する匿名 LDAP 検索アクセス権を定義できます。
方法を選択する
匿名 LDAP 検索アクセス権を制御する方法としては、データベース ACL と拡張 ACL のほうがドメイン設定文書より柔軟です。たとえば、ある属性へのアクセスをドメイン設定文書で許可または拒否すると、そのアクセス権は、その属性を持つすべてのエントリに適用されます。これに対し、データベース ACL と拡張 ACL を使用すると、ディレクトリツリーの特定の分岐にあるエントリが持つ属性へのアクセスを拒否し、別の分岐にあるエントリが持つ同じ属性へのアクセスを許可できます。また、たとえば、ディレクトリ全体を通して特定の種類のエントリが持つ属性へのアクセスを拒否し、別の種類のエントリが持つ属性へのアクセスを許可できます。
However, there are implications to using extended access that don't apply to the use of the domain Configuration Settings document. For example, after you enable extended access, you can make directory changes only on a directory replica located on a Domino® 6 or later server. You cannot make such changes on releases earlier than Domino® 6. ACL method also causes database security to be enforced for HCL Notes® namelookups, such as type-ahead lookups. If the domain Configuration Settings document method is adequate for your needs, it might make sense to use it instead.