定義例の前提条件を次に示します。

• LDAP対応のディレクトリサービスを使用してユーザ管理をしている。
• LDAP対応のディレクトリサービスで構築されているDITの例を図3-13に示す。
• 各エントリに対応するディレクトリ情報の例を表3-5に示す。
  

  図3-13　DITの例

  

  表3-5　エントリに対応するディレクトリ情報の例

  エントリ	各エントリに対応するディレクトリ情報
  o: hitachi,c=jp	dn: o=hitachi,c=jp objectclass: top objectclass: organization o: hitachi,c=jp
  ou=people	dn:ou=people,o=hitachi,c=jp objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetOrgPerson sn: person cn: personal
  uid: s891711	dn: uid=s891711,ou=people,o=hitachi,c=jp objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetOrgPerson cn: Taro Hitachi cn;lang-ja: 日立太郎 uid: s891711 sn: hitachi ou: unit1 ou: unit userpassword: s891711
  uid: k972251	dn: uid=k972251,ou=people,o=hitachi,c=jp objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetOrgPerson cn: Ichiro Yamada cn;lang-ja: 山田 一郎 uid: k972251 sn: yamada ou: unit2 ou: unit userpassword: k972251
  uid:k881891	dn: uid=k881891,ou=people,o=hitachi,c=jp objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetOrgPerson cn: Jiro Suzuki cn;lang-ja: 鈴木 二郎 uid: k881891 sn: suzuki ou: unit2 ou: unit userpassword: k881891
  ou: unit	dn: ou=unit,o=hitachi,c=jp objectclass: top objectclass: organizationalUnit ou: unit ou;lang-ja: ユニット
  ou: unit1	dn: ou=unit1,ou=unit,o=hitachi,c=jp objectclass: top objectclass: organizationalUnit ou: unit1 ou;lang-ja: ユニット1
  ou: unit2	dn: ou=unit2,ou=unit,o=hitachi,c=jp objectclass: top objectclass: organizationalUnit ou: unit2 ou;lang-ja: ユニット2
  ou: group	dn: ou=group,o=hitachi,c=jp objectclass: top objectclass: groupOfUniqueNames objectclass: hdsgroupofuniquenames ou: group ou;lang-ja: グループ cn:grp0 groupOfUniqueNamesId: g0
  ou: group1	dn: ou=group1,ou=group,o=hitachi,c=jp objectclass: top objectclass: groupOfUniqueNames objectclass: hdsgroupofuniquenames cn: grp1 ou: group1 ou;lang-ja: グループ1 groupOfUniqueNamesId: g1 uniqueMember: uid=s891711,ou=people,o=hitachi,c=jp
  ou: group2	dn: ou=group2,ou=group,o=hitachi,c=jp objectclass: top objectclass: groupOfUniqueNames objectclass: hdsgroupofuniquenames cn:grp2 ou: group2 ou;lang-ja: グループ2 groupOfUniqueNamesId: g2 uniqueMember:uid=k972251,ou=people,o=hitachi,c=jp uniqueMember:uid=k881891,ou=people,o=hitachi,c=jp

前提条件に基づいて，ユーザ情報とグループ情報の検索設定の例，および検索の実行例を説明します。

(a)　ユーザ認証（ユーザ情報の検索）方法

DITの「o=hitachi,c=jp」以下の階層からユーザとして定義したクラス（object classがinetOrgPerson）でユーザ識別子として利用する属性（uid）が入力されたIDと一致するエントリを検索します。

検索基点：o=hitachi,c=jp

検索範囲：基点以下の全てのレベル

ユーザとして定義したクラス名：inetOrgPerson

ユーザ識別子として使用するユーザクラスの属性：uid

ユーザ情報の検索設定は，［ユーザ情報の検索設定］ダイアログで行います。ユーザ情報の検索設定の例を次の図に示します。

図3-14　ユーザ情報の検索設定の例

(b)　グループ識別子の取得（グループ情報の検索）方法

グループ情報の検索方法を指定します。それぞれの検索方法について，指定方法を説明します。

• グループとして定義されているオブジェクトから検索する。
  DITの「o=hitachi,c=jp」以下の階層からグループとして定義したクラス（objectclassがhdsgroupofuniquenames）で入力されたIDのユーザがグループのメンバ（uniqueMember）として定義されているエントリを検索します。
  エントリからグループ識別子として利用する属性（groupOfUniqueNamesId）の値を取得します。
  

  検索基点：o=hitachi,c=jp

  検索範囲：基点以下の全てのレベル

  グループとして定義したクラス名：hdsgroupOfUniqueNames

  グループ識別子として利用する属性名：groupOfUniqueNamesId

• ユーザの属性値から検索する。
  ユーザの属性でグループ情報として設定した属性（ou）の値を取得します。
  

  グループ情報が格納されたユーザの属性名：ou

• ユーザのDNから検索する。
  ユーザのDN中でグループ識別子として利用するキー（ou）の値を取得します。
  

  グループ識別子として利用するユーザのDN中のキー名：ou

グループ情報の検索設定は，［グループ情報の検索設定］ダイアログで行います。グループ情報の検索設定の例を次の図に示します。

図3-15　グループ情報の検索設定の例

ここでは，例で示した文書空間構成定義を使用した場合のユーザ認証とユーザ情報の取得について説明します。なお，説明ではログイン名は「s891711」であると仮定します。

認証

DocumentBrokerは次のような検索条件に適合するユーザのエントリを検索します。

検索基点

［ユーザ情報の検索設定］ダイアログの［検索基点］で指定されている「o=hitachi,c=jp」です。

検索範囲

［ユーザ情報の検索設定］ダイアログの［検索範囲］で［基点以下の全てのレベル］が選択されているので検索基点からのすべてのサブツリーが検索範囲となります。

検索フィルタによる検索条件

［ユーザ情報の検索設定］ダイアログの検索条件の指定によって，「(&(objectclass=inetOrgPerson)(uid=s891711))」となります。

この検索によって見つかったエントリのuserpassword属性の値と入力されたパスワードを比較して，一致すれば認証成功となります。

グループ情報取得

［グループ情報の検索設定］ダイアログの［ディレクトリエントリからの検索］で［グループとして定義されているオブジェクトから検索する］がチェックされているため，グループのエントリを検索します。このとき，次に示す検索条件を基に検索を実行します。

検索基点

［グループ情報の検索設定］ダイアログの［検索基点］で指定されている「o=hitachi,c=jp」です。

検索範囲

［グループ情報の検索設定］ダイアログの［検索範囲］で［基点以下の全てのレベル］がチェックされているので検索基点からのすべてのサブツリーが検索範囲となります。

検索条件

［グループ情報の検索設定］ダイアログの検索条件の指定によって，「(&(objectclass=hdsgroupOfUniqueNames)(uniqueMember=uid=s891711,ou=people,o=hitachi,c=jp))」となります。

この検索によって見つかったエントリのgroupOfUniqueNamesId属性（［グループ情報の検索設定］ダイアログの［ディレクトリエントリからの検索］の［グループ識別子として利用する属性名］）の値「g1」をグループ識別子として取得します。

［グループ情報の検索設定］ダイアログの［ユーザの属性値からの検索］で［ユーザの属性値からグループ識別子を検索する］がチェックされているため，ユーザの属性値からグループ情報を取得します。このとき，ユーザのou属性（［グループ情報の検索設定］ダイアログの［ユーザの属性値からの検索］の［グループ情報が格納されたユーザの属性名］の指定）の値は「unit1」および「unit」ですが，［グループ情報の検索設定］ダイアログの［ユーザの属性値からの検索］の［ユーザ属性中のグループ情報がDNである］がチェックされていないため，その値をそのままグループ識別子として取得します。

［グループ情報の検索設定］ダイアログの［ユーザのDNからの検索］で［ユーザのDNからグループ識別子を検索する］がチェックされているため，ユーザのDNからグループ情報を取得します。このとき，ユーザのdn:uid=s891711,ou=people,o=hitachi,c=jpのou（［グループ情報の検索設定］ダイアログの［ユーザのDNからの検索］の［グループ識別子として利用するユーザのDN中のキー名］の指定）の値「people」をグループ識別子として取得します。

このような検索結果から「g1」，「unit1」，「unit」および「people」をこのユーザのグループ識別子として取得できます。