付録B 認証ルール
認証ルール一覧では,上から下に複数の認証ルールの設定一覧が表示されます。アクションの項目に「ACCEPT」と設定されているルールが,認証の許可を行っているルールです。
この認証のルールにユーザの認証時の条件がマッチした場合に,該当ポリシーでの認証が許可されます。この条件とは,認証グループ,認証ネットワーク(ユーザが接続しているネットワークアドレス)がマッチした場合,該当する認証ポリシーが利用されます。
本システムでは,ファーストマッチルールを採用しています。複数のルールにマッチした場合は,それらのポリシーのどれかが最初に出現したルールを優先して選択します。
ファーストマッチルールとは認証グループ,認証ネットワークが同一の場合に,一覧で一番上にあるルールが適応されるというものです。この際,「ACCEPT」のルールだけが対象となります。
上から下へルールをマッチする走査過程でマッチしたルールが「DENY」の場合は,そのルールに指定されたポリシーが不許可となります。
ただし,この「DENY」より前に同ポリシーが「ACCEPT」されている場合は,不許可とはなりません。
認証ルールの一覧では見通しよく,かつ,合理的なルールの適用のために,先に許可するルールを「ACCEPT」と設定して登録し,最後にデフォルトで固定設定されているすべての条件に対して「DENY」というルールで終了するのが一般的です。これらのルールに例外を加える場合だけ,それらの途中に「DENY」ルールを挿入してください。
なお,どの認証ルールにもマッチしない場合は,JP1/DH - Serverのシステム全体のデフォルト値である標準認証ルールが適用されます。
<ユーザが複数グループに所属する場合>
ユーザが複数のグループに所属する場合も同様に,ファーストマッチルールが適用されます。ユーザが所属するグループの順序は関係ありません。
グループ構成として,「A」,「B」,「C」が「親」グループの配下に登録されている場合の例を以下に示します。
|
項番 |
操作ユーザの所属(上から) |
認証ルール定義 (上から) |
適用されるルール |
|---|---|---|---|
|
1 |
A |
1. B ACCEPT 2. A ACCEPT |
2. A ACCEPT |
|
2 |
A B |
1. B ACCEPT |
|
|
3 |
B A |
1. B ACCEPT |
|
|
4 |
A |
1. B ACCEPT 2. A DENY |
2. A DENY |
|
5 |
A B |
1. B ACCEPT |
|
|
6 |
A |
1. B DENY 2. A ACCEPT |
2. A ACCEPT |
|
7 |
A B |
1. B DENY |