ディレクトリ

属性

名前（属性名） と、その属性の値（単一または複数）。.
属性の形式は、通常、名前= 値です。
属性名は、大文字と小文字が区別されます。
例:

userName=john
eyeColor=blue

オブジェクトクラス

属性名がobjectClass である属性です。この属性は、オブジェクトが属するクラスを表しま す。
例:

objectClass=person
objectClass=organization

識別名 (DN).

属性のリストで、属性の形式は名前= 値です。各属性は、コンマ（,） で区切られます。
この識別名がオブジェクト（レコード） の一意の名前として使われます。
例:

userName=john,server=BigIron,realm=Internet

識別名（属性のリスト） は、それ自体がオブジェクト名ツリー（木構造） です。右端の属性が 一般名（大区分） で、左端の属性が一意の具体的オブジェクト名を表します。
左端の属性を相対識別名（RDN） と呼びます。これは、左端の属性が、同一の親識別名に属す るオブジェクトの中の一意のオブジェクト名である（親属性に対して相対的な属性である） た めです。
例:

userName=jim,server=BigIron,realm=Internet
この識別名は、相対識別名は上記の例の識別名 とは異なりますが、親識別名 （server=BigIron,realm=Internet） は同じです。

例:

userName=john,server=SmallCopper,realm=Internet
この識別名は、相対識別名は上記の例の識別名 と同じですが、親識別名 （server=SmallCopper,realm=Internet） は異なります。

ディレクトリレコード（ディレクトリオブジェクト）

ディレクトリレコード（またはディレクトリオブジェクト） とは、識別名と属性（複数） のセッ トをいいます。
レコードは通常、複数行で構成されます。先頭行には、そのレコードの識別名（DN） が来ます。 その後、そのレコードの各属性の行が続きます。レコードとレコードの区切りは、通常、空白 行です。
例:

DN: userName=jim,server=BigIron,realm=Internet
objectClass=person
eyeColor=blue
mailboxLimit=1024000

DN: userName=john,server=BigIron,realm=Internet
objectClass=person
eyeColor=green
mailboxLimit=2048000

Note: LDAP 標準では、ディレクトリレコードに相対識別名（RDN） を使用した識別名を定義す るように推奨しています。CommuniGate Pro のディレクトリマネージャでは、この推奨を順守し ています。

ディレクトリ

ディレクトリレコードのセットをディレクトリと呼びます。ディレクトリは、非常に大きくな る（レコード数が数百万） こともあります。ディレクトリは、識別名をもとにしたツリー構造 の形をしています。レコードの親識別名のレコードが削除されると、そのレコードも自動的に 削除されます。また、識別名の親識別名が変更されると、その識別名も自動的に更新されます。

ディレクトリスキーマ

ディレクトリに関する制限です。スキーマの定義としては、次のようなものがあります。

• ディレクトリで使用できる属性名（例えば、userName、mail、city、eyeColor など）。
• ディレクトリで使用できるobjectClass 属性の値（person、organization、device、printer など）。
• objectClass 属性について、レコードに存在しなければならない属性名（必須の属性名）。例えば、レコードにobjectClass=person がある場合、cn （名） とsn （姓） を必須の属性として定義できます。
• objectClass 属性について、レコードで使用できる属性名（任意の属性名）。例えば、レコードにobjectClass=person がある場合、driverLicense （車の免許証） とeyeColor（目の色） を任意の属性名として定義できます。

リモート（ストレージ） ユニットの設定を行う場合、　WebAdmin インターフェイスの［Directory］ ページを開き、［Remote Storage Unit］ リンクをクリックします。クリック後、リモートユニットの ［Settings］ ページが開きます。

設定

ログレベル:	クラッシュのみ失敗失敗及び重要な問題問題低レベル全情報
LDAPサーバー名:
セキュリティ:	オフTLSPortSTARTTLS
サーバーサブツリー:
バインドDN:
バインドパスワード:
プロトコルバージョン:	23
チャネルキャッシュ:	0123571015203050100250

ログレベル

このオプションでは、リモートストレージユニットマネージャによってサーバーログに記録さ れる情報の範囲（ ログレベル） を指定できます。

LDAPサーバー名

このフィールドには、リモートLDAP サーバーの名前またはIP アドレスを指定します。この LDAP サーバーで、リモートユニットのサブツリーがホストされることになります。リモート LDAP サーバーのTCP ポートが非標準のポートの場合、このフィールドには、コロンを付加し て、そのポート番号も指定します（サーバー名: ポートの形式）。

セキュリティ

このオプションを［TLSPort］ に設定しておくと、リモートLDAP サーバーとの間でセキュア モードで接続が確立されます。セキュア接続のデフォルトのポートは636 です。
［STARTTLS］ に設定しておくと、まず、通常のLDAP ポートに対して接続が確立され、その 後、STARTTLS LDAP コマンドを使ってセキュア（暗号化） 接続が確立されます。

サーバーサブツリー

このフィールドには、リモートLDAP サーバーのサブツリーを指定します。このサブツリーが 「マウント」されます。このフィールドを空白にしておくと、リモートLDAP サーバーのディレ クトリ全体がCommuniGate Pro ディレクトリのサブツリーとして表示（マウント） されます。

バインドDN, バインドパスワード

この2 つのフィールドにはそれぞれ、リモートLDAP サーバーをバインドする（ リモートLDAP サーバーにログインする） ときに使用される識別名とパスワードを入力します。どちらも空白 にしておくこともでき、その場合、CommuniGate Pro からリモートLDAP サーバーに対して匿名 アクセスが実行されます。

プロトコルバージョン

このフィールドには、LDAP プロトコルのバージョンを指定します。このバージョンは、リモー トLDAP サーバーでサポートされているバージョンでなければなりません。

チャネルキャッシュ

このオプションでは、「キャッシュ」TCP 接続の数を指定します。リモートLDAP サーバー への接続の際、ここで指定した数のTCP 接続が使われます。

状況によっては、ローカルストレージユニットにはディレクトリデータは一切格納せず、すべてをリ モートLDAP サーバー（または、別のCommuniGate Pro サーバーやサードパーティのディレクトリ サーバー） に置かなければならないこともあります。その場合、CommuniGate Pro の「ルート」をリ モートストレージユニットに格納し、そのルートが外部サーバー（ディレクトリデータの格納先のサー バー） を指すように設定しなければなりません。

CommuniGate Pro サーバーのディレクトリの「ルート」は、デフォルトでは、ローカルストレージユ ニットMain にあります。ディレクトリデータをすべてリモートLDAP サーバーに格納するときには、 ルートとディレクトリツリー全体が置かれている場所をCommuniGate Pro サーバーに認識させること が必要です。この設定は、次のようにして行います。

• WebAdmin インターフェイスの［Directory］ ページで［Local Storage Unit］ リンクをクリック し、ローカルユニットMain の［Settings］ ページを開きます。
• ローカルユニットの場所をo=dummy （架空のサブツリー） に変更します。
• RemoteRoot という名前のリモートストレージユニットを作成します。サブツリーは、空白の 文字列にしておきます。
• リモートユニットRemoteRoot を設定し、このリモートユニットからリモートLDAP サーバー にアクセスが実行されるようにします。
• リモートディレクトリが使用できるかどうかチェックします（CommuniGate Pro のディレクト リブラウザでチェックできます）。
• ローカルユニットMain の［Settings］ ページを開きます。［Remove Unit］ ボタンをクリックし て、ローカルユニットMain を削除します。

CommuniGate Pro ディレクトリのレコードは、クライアントによる読み取りや検索、修正が可能です が、その場合のアクセス権を制限できます。ディレクトリには、それ自体にアクセス権レコードが格 納され、このアクセス権レコードを使ってディレクトリに対する処理が制限されます。アクセス権レ コードには、クライアントのバインディング識別名やディレクトリのサブツリー（処理対象の識別 名） を指定できます。

ディレクトリのアクセス権レコードの設定を行う場合、［Directory Access Rights］ ページを開きます。

	名前	ターゲット	バインドDN	タイプ
				禁止許可	編集
				禁止許可	編集
				禁止許可	編集
				禁止許可

アクセス権レコードのパネルのフィールドは、次の通りです。

• ［Name］ フィールド： アクセス権レコードの名前。
• ［Target］ フィールド： 処理対象の識別名。この識別名に対して、アクセス権レコードの定義が 使用されます。ターゲットには、ワイルドカード（*"） を使用できます。
• ［Bind DN］ フィールド： バインド識別名。クライアントのバインディング識別名で、この識別 名に対してアクセス権レコードの定義が使用されます。
• ［Type］ フィールド： レコードの種類（ステータス）。アクセスの許可または禁止を指定できま す。
• ［Rights］ フィールド： リンクをクリックすると、レコードに定義されているアクセス権を確認 できます（アクセス権の指定については、下記を参照）。

アクセス権レコードには優先度があり、上のレコードほど優先度が高くなります。［Up］ ボタンまた は［Down］ ボタンを使ってレコードの位置を変更し、優先度を変更できます。

クライアント（ユーザー） から、識別名を介して、ディレクトリのレコードまたはサブツリーに対し て検索、読み取り、変更などの処理要求が送信されると、リストのアクセス権レコードが上から順に チェックされます。この場合、次の条件をもとにレコードが検索されます。

• ［Target］ フィールドの値が、クライアントからの要求に指定されている識別名（処理対象の識 別名） と同じレコード。
• ［Bind DN］ フィールドの値が、クライアントのバインディング識別名と同じレコード。
• レコードに定義されている処理（削除や作成など） が、要求に指定されている処理と同じレ コード。または、レコードに定義されている処理の属性が、要求に指定されている処理の属性 と同じレコード。

上記の条件に該当するレコードが存在した場合、そのレコードの［Type］ フィールドの値にしたがっ て、要求された処理が許可（allow の場合） または拒否（prohibit の場合） されます。上記の条件に該 当するレコードが見つからなかった場合、処理は拒否されます。

クライアントのバインディング識別名がマスターバインド識別名だったときには（上記を参照）、すべ ての処理が許可されます。

クライアントからの要求が「読み取り」処理だったときには、読み取り対象として指定されている属 性すべてについて、処理が繰り返されます。ここで、すべての属性について読み取りが禁止されてい た場合、その読み取り処理自体が拒否されます。そうでない場合、属性のうち、読み取りが許可され ている属性が取り出され、クライアントに返却されます。

クライアントからの要求が「検索」処理だったときには、検索条件で指定されている属性すべてにつ いて、処理が繰り返されます。ここで、検索対象の属性のうち少なくても１ つについて検索が禁止さ れている場合、その検索処理は拒否されます。そうでない場合、検索が実行されます。検索で、条件 に該当するレコードが見つかったときには、そのレコードの相対識別名（RDN、識別名の左端の属性） がチェックされます。その相対識別名の読み取りが禁止されている場合、そのレコードはクライアン トには返却されません。

クライアントからの要求が「名前の変更」処理だったときには、同じ処理が2 回繰り返されます。つ まり、まず、クライアントに、オリジナルのディレクトリレコードを削除する権限がクライアントに 付与されているかどうかがチェックされます。次に、ディレクトリレコードを新規の場所に作成する 権限がクライアントに付与されているかどうかがチェックされます。この2 つの権限が付与されてい た場合、名前の変更処理が実行されます。

［Bind DN］ フィールドには、バインディング識別名として次の特殊文字列を指定できます。

anyone

the Access Right record is applied for any BindDN, including the anyone (absent) BindDN.

brother

この文字列を指定しておくと、［Bind DN］ フィールドの識別名（ クライアントのバインディン グ識別名） と［Target DN］ フィールド（処理対象の識別名） の識別名について、その親識別名 がどちらも同じ（つまり、クライアントのバインディング識別名と処理対象の識別名が「兄 弟」） だった場合、そのアクセス権レコードの定義が適用されます。例えば、識別名 uid=someuser,cn=domain1.com と識別名uid=otheruser,cn=domain1.com は「兄弟」 です。この設定（brother） は、CommuniGate Pro ユーザーのうち、ドメインが同じユーザー に一括してディレクトリレコードに対するアクセス権を付与するときに利用できます。

parent

この文字列を指定しておくと、［Bind DN］ フィールドの識別名が［Target DN］ フィールドの識 別名の親識別名だった場合、そのアクセス権レコードの定義が適用されます。例えば、識別名 cn=domain1.com は、識別名uid=user1,cn=domain1.com の親識別名です。また、識別名 id=book1,uid=user1,cn=domain1.com の親識別名です。

child

この文字列を指定しておくと、［Target DN］ フィールドの識別名が［Bind DN］ フィールドの識 別名の親識別名（つまり、クライアントのバインディング識別名が「子」） だった場合、その アクセス権レコードの定義が適用されます。

self

この文字列を指定しておくと、［Bind DN］ フィールドの識別名と［Target DN］ フィールドの識 別名が同じだった場合、そのアクセス権レコードの定義が適用されます。この設定（self） は、 CommuniGate Pro ユーザーに自分のディレクトリレコードを変更できる権限を付与するときに 利用できます。

アクセス権レコードを新規に作成する場合、下端の空白行にレコードの名前、処理対象の識別名、ク ライアントのバインディング識別名を入力し、［Update］ ボタンをクリックします。また、必要に応じ て［Up］ ボタンをクリックし、そのアクセスレコードの優先度を変更します。

既存のアクセスレコードを削除する場合、その名前を削除し、［Update］ ボタンをクリックします。

アクセス権レコードにはそれぞれ別個にアクセス権を指定できます。アクセス権を指定する場合、 ［Directory Access Rights］ ページを開き、アクセス権レコードの［specifications］ リンクをクリックし ます。

レコードレベル権限

禁止 レコード削除

禁止 レコード作成

［delete entry］ チェックボックスをチェックしておくと、［Bind DN］ フィールドに指定されている識 別名（ クライアント） が［Target DN］ フィールドの識別名のレコードを削除できるようになります。 また、［create entry］ チェックボックスをチェックしておくと、レコードを作成できるようになりま す。

属性読み込み

禁止: *

［Readable Attributes］ フィールドには、ディレクトリレコードの属性のうち、読み取りを許可する属 性を指定します。［Target DN］ フィールドで指定されているレコードの属性のうち、ここで指定した 属性について、［Bind DN］ フィールドに指定されているクライアントによる読み取りが可能になりま す。属性の名前を複数指定する場合、名前をコンマで区切ります。クライアントにすべての属性の読 み取りを許可する場合、アステリスク（*） を入力します。

属性検索

禁止: *

［Searchable Attributes］ フィールドには、ディレクトリレコードの属性のうち、検索を許可する属性 を指定します。［Target DN］ フィールドで指定されているレコードの属性のうち、ここで指定した属 性について、［Bind DN］ フィールドのクライアントによる検索が可能になります。

属性変更

禁止: *

［Modifiable Attributes］ フィールドには、ディレクトリレコードの属性のうち、変更を許可する属性 を列挙します。［Target DN］ フィールドで指定されているレコードの属性のうち、ここで指定した属 性について、［Bind DN］ フィールドのクライアントによる変更が可能になります。

下は、アクセス権レコードの例です。

Target DN

uid=*,cn=domain1.com

Bind DN

brother

Type

allow

Readable Attrbutes

objectClass,officeEmail,roomNumber,cn,uid

上のアクセス権レコードの場合、ドメインdomain1.com のユーザーはすべて、他のドメインの ユーザーのディレクトリレコードからobjectClass、cn、uid、officeEmail、roomNumber の 各属性の値を読み取ることができます。

下は、別のアクセス権レコードの例です。

Target DN

cn=domain1.com

Bind DN

child

Type

allow

Readable Attrbutes

objectClass,officeEmail,roomNumber

Searchable Attrbutes

cn,uid

このアクセス権レコードの場合、ドメインdomain1.com のユーザーはすべて、自分のドメインの サブツリーのディレクトリレコードについて、属性cn と属性uid を対象として検索が可能です。こ れ以外の属性の検索はできません。

CommuniGate Pro のWebAdmin インターフェイスにはディレクトリブラウザが用意されています。 ディレクトリブラウザのページは、［Directory］ ページを開き、［Browser］ リンクをクリックすると 表示されます。

ディレクトリブラウザには、［Distinbuished Name］ （識別名） フィールドがあります。

識別名

このフィールドにディレクトリレコード/ サブツリーの識別名を入力し、［Go］ ボタンをクリックす ると、その識別名で示されるレコードまたはサブツリーが表示されます。［Up］ ボタンをクリックす ると、入力した識別名の左端の要素が削除され、削除後の識別名で示されるディレクトリレコード、 つまり親のディレクトリレコードが表示されます。

［Go］ ボタンのクリック後、下のようなパネルが表示されます。

属性	値
businesscategory	"Software development/technical support"
description	"\"Stalker Software, Inc. subsidiary\""
o	"CommuniGate Systems"
objectclass	organization
seealso	"o=CommuniGate Systems, c=US"
telephonenumber	676-555-1212

［Distinbuished Name］ フィールドで指定したディレクトリレコードが見つからなかった場合、上記の パネルにはエラーメッセージが表示されます。

また、［Subtree］ パネルには、レコードの子がすべて表示されます。

サブツリー

10301003001000300010000300001000003000001000000 フィルタ:
RDN	objectClass
cn=aaa.dom	(top,organization,CommuniGateDomain)
cn=bbb.dom	(top,organization,CommuniGateDomain)

［Display］ ボタンの右のポップアップメニューを使って、［Subtree］ パネルに表示されるレコードの 最大数を指定できます。

レコードを検索したい場合、［Subtree］ パネルの［Filter］ フィールドにLDAP フィルタ文字列（RFC 2254 フォーマット） を入力し、［Display］ ボタンをクリックします。

［Subtree］ パネルには、子の相対識別名（RDN） とオブジェクトクラスが表示されます。子の相対識別名をクリックすると、そのレコード（子レコード） の内容が表示されます。

システム管理者は、CommuniGate Pro のWebAdmin インターフェイスを使ってディレクトリデータを インポートできます。インポートするデータは、テキストファイルに格納しておきます。ファイル フォーマットとしては、LDIF フォーマットまたはLMOD フォーマット（レコードの修正） が使用で きます。

LDIF フォーマットのテキストファイルを使ってインポートする場合、上記のパネルの［Browse］ ボ タンをクリックし、LDIF ファイルを選択します（LDIF ファイルは、ワークステーションに置いてお きます）。その後、［LDIF Import］ ボタンをクリックすると、選択したLDIF ファイルのレコードがイ ンポートされます。

LMOD フォーマットのテキストファイルを使ってレコードを修正する場合、［Browse］ ボタンをク リックし、LMOD ファイルを選択します（LMOD ファイルは、ワークステーションに置いておきま す）。その後、［LMOD Import］ ボタンをクリックすると、選択したLMOD ファイルをもとにレコー ドが修正されます。