|
周知のとおり、LDAPでは、ディレクトリをエントリするのに厳密な階層構造が要求されます。FirstClassでは、ユーザグループに組織単位(OU)を割り当てることで、この階層化を行います。
FirstClassディレクトリサービスを使用しない場合は、組織単位(OU)は単なる記述子にすぎず、組織単位(OU)をユーザグループに割り当てる際に特に注意すべきことはありません。しかし、FirstClassディレクトリサービスを使用する場合、状況が全く異なります。
FirstClassディレクトリサービスの使用を考えている場合は、必ず次のことを確認してください。
・所属する組織の階層に合致するユーザグループを組織単位(OU)に割り当てること。
組織単位(OU)が割り当てられていないグループだけに所属するディレクトリエントリは、FirstClassディレクトリのツリー表示でルート階層に配置されます。
・組織単位(OU)の各階層をグループに割り当てる際は、論理的かつ一貫性を保つようすること。
FirstClassディレクトリサービスは、先に受け取った情報から、順次ツリー表示を作成します。したがって、一貫性のない階層情報をもつエントリが後から発生しても、そのエントリは無視されます。
・ユーザまたは公開メールリストが所属するユーザグループは、正しい階層順にして、最上層のグループを最初に作成してください。
ユーザグループに権限を設定する場合は、階層による制約が起こることに注意してください。FirstClassサーバ側からみると、グループが登録された順番にユーザ権限が適用されます。FirstClassディレクトリサービス側からみると、ディレクトリのツリー表示順に権限が適用されます。この2つの機能の違いによって、矛盾が起こる可能性があります。
権限を与えるためだけに作られた、組織の階層と一致しないグループがあるなど必要な場合には、このグループに組織単位(OU)を割り当てないようにして、矛盾が起こらないようにすることができます。そうすれば、FirstClassディレクトリサービスはこのグループを無視するようになります。
例
下の図は、ある会社の管理者グループの階層構造を表しています。
 ある社員(深田理沙)が人事課で働いているとします。彼女が所属するユーザグループは、[ユーザ情報]フォームで次の順番に登録します。
[All Users]
[Regular Users]
[人事部]
[人事課]
[人事部]グループに割り当てる組織単位(OU)は、[人事課]グループに割り当てる組織単位(OU)より上位の階層にあるようにします。[All Users]グループと[Regular Users]グループは、FirstClassディレクトリサービスが無視しますので、これらのグループに組織単位(OU)を割り当てる必要はありません。
FirstClassディレクトリのルートDN(ルート識別名)は、次のように設定されます。
ou=総務グループ,o=株式会社○丸,c=JP
この設定の結果、深田理沙のDN(識別名)は次のようになります。
cn=理沙 Pringle,ou=人事課,ou=人事部,ou=総務グループ,o=株式会社○○,c=JP
| ||
