階層の権限の取得
ご存知の通り、LDAPでは、ディレクトリをエントリするのに厳密な階層構造が要求されます。FirstClassでは、ユーザグループに組織単位(OU)を割り当てることで、この階層化を実行できます。
LDAPモードでのFirstClassディレクトリサービスのご利用に当たっては、必ず以下の点をご確認ください。
• 所属する組織の階層に合致するユーザグループを組織単位に割り当てている
組織単位が割り当てられていないグループだけに所属するディレクトリエントリは、FirstClassディレクトリのツリー表示のルート階層に配置されます。
• 組織単位の各階層をグループに割り当てる際、論理性と一貫性が保たれるようにしている
FirstClassディレクトリサービスは、先に受け取った情報から順次ツリー表示を作成します。したがって、一貫性のない階層情報を持つエントリが後から発生しても、そのエントリは無視されます。
• ユーザまたは公開メールリストが所属するユーザグループを正しい階層順にし、最上層のグループを最初に作成している
ユーザグループに権限を設定する場合は、階層による制約が起こることに注意してください。FirstClassサーバ側では、グループが登録された順番にユーザ権限が適用されます。一方、FirstClassディレクトリサービス側では、ディレクトリのツリー表示順に権限が適用されます。この2つの違いによって、矛盾が起こる可能性があります。FirstClassディレクトリサービスの実行モードによっては、このような矛盾を回避できます。
階層の例
下の図は、ある会社の管理者グループの階層構造を表しています。
ある社員(深田理沙)が人事課で働いているとします。彼女が所属するユーザグループは、[ユーザ情報]フォームで次の順番に登録されています。
[All Users]グループ
[Regular Users]グループ
[人事部]グループ
[人事課]グループ
[人事部]グループには、[人事課]グループに割り当てる組織単位(OU)より上位の階層にある組織単位を割り当てます。[All Users]グループと[Regular Users]グループはFirstClassディレクトリサービスによって無視されるため、これらのグループに組織単位を割り当てる必要はありません。
FirstClassディレクトリのルートDN(ルート識別名)は、以下のように設定されます。
ou=総務グループ,o=株式会社○○,c=JP
その結果、深田理沙のDN(識別名)は以下のようになります
cn=深田理沙,ou=人事課,ou=人事部,ou=総務グループ,o=株式会社○○,c=JP
LDAPツリー表示
FirstClassディレクトリサービスをLDAPクライアントに接続すると、以下のようなツリーが表示されます。
FirstClassディレクトリサービスは、以下の分岐を作成します。
• Contacts
個人アドレス帳に登録されているすべてのメンバーを表示します。
• Subscription_Lists
すべてのメンバーリストを表示します。リストごとに、メンバーのDN(識別名)が一覧表示されます。
• Account_Lists
すべてのposixGroupを一覧表示します。これらのグループはメンバーリストとして複製されます。リストごとに、メンバーのユーザIDが一覧表示されます。
各ユーザが確認できる内容
ログインするユーザ |
確認できる内容 |
管理者 |
すべて |
レギュラーユーザ |
ツリー全体。ただし、Account_Listsの内容は確認できません。 |
匿名ユーザ |
ツリー全体。ただし、一覧の内容およびユーザの詳細情報は確認できません。 |
| 
