第10章 ディレクトリー設計の例

Corp. のディレクトリーの例は、メッセージングサーバー、Web サーバー、カレンダーサーバー、人的リソースアプリケーション、およびホワイトページアプリケーションによって使用されます。

メッセージングサーバーは、uid、mailServerName、および mailAddress などの属性に対して正確な検索を実行します。データベースのパフォーマンスを改善するために、Example Corp. は、メッセージングサーバーによる検索をサポートするため、これらの属性のインデックスを維持します。

インデックスの使用に関する詳細は、「データベースパフォーマンスを改善するためのインデックスの使用」 を参照してください。

ホワイトページアプリケーションは、ユーザー名と電話番号を頻繁に検索します。したがって、ディレクトリーは、大量の結果を返す、サブ文字列、ワイルドカード、およびファジーな検索を頻繁に行える必要があります。Example Corp. は、cn、sn、および givenName 属性のプレゼンス、等価性、概算、およびサブストリングインデックスと、telephoneNumber 属性のプレゼンス、等価性、およびサブストリングインデックスを維持することを決定します。

Corp. のディレクトリーの例では、ユーザーおよびグループの情報を維持し、組織全体でデプロイされた LDAP サーバーベースのイントラネットをサポートします。ほとんどの Example Corp. のユーザーおよびグループ情報は、ディレクトリー管理者のグループにより集中管理されます。ただし、Example Corp. では、メール管理者の別のグループで電子メール情報を管理するようにします。

S/MIME メールなど、公開鍵インフラストラクチャー(PKI)アプリケーションをサポートする Corp. 計画の例。そのため、ディレクトリーにユーザーの公開鍵証明書を保存する準備が必要になります。

ディレクトリーツリーの root は、Example Corp. のインターネットドメイン名である dc=example,dc=com です。

ディレクトリーツリーには、ou=people、ou=groups、ou=roles, および ou=resources の 4 つのブランチポイントがあります。

Example Corp. の人のエントリーはすべて ou=people ブランチの下に作成されます。

人のエントリーはすべて、person、organizationalPerson、inetOrgPerson、および examplePerson オブジェクトクラスのメンバーになります。uid 属性は、各エントリーの DN を一意に識別します。たとえば、Example Corp. には Babs Jensen (uid=bjensen)) および Emily Stanton (uid=estanton) のエントリーが含まれます。

これらは、Example Corp. の営業、マーケティング、会計の各部門に 1 つずつ、3 つのロールを作成します。

人のエントリーにはそれぞれ、その人が所属する部門を識別するロール属性が含まれます。Example Corp. は、これらのロールに基づいて、ACI を作成できるようになりました。

ロールの詳細は、「ロールの概要」 を参照してください。

ou=groups ブランチの下に、2 つのグループブランチを作成します。

最初のグループ cn=administrators には、ディレクトリーの内容を管理するディレクトリー管理者のエントリーが含まれています。

2 つ目のグループ cn=messaging admin には、メールアカウントを管理するメール管理者のエントリーが含まれています。このグループは、メッセージングサーバーによって使用される管理者グループに対応します。Example Corp. は、メッセージングサーバーに設定するグループが、Directory Server 用に作成するグループとは異なるようにします。

ou=resources ブランチの下に、会議室用 (ou=conference rooms) とオフィス用 (ou=offices) の 2 つのブランチを作成します。

これらは、エントリーが管理グループに属するかどうかに応じて mailquota 属性の値を提供する サービスクラス (CoS) を作成します。

この CoS では、管理者には 100GB のメールクォータが与えられ、一般の Example Corp. の従業員には 5GB のメールクォータが与えられます。

サービスクラスの詳細は、「サービスクラスについて」 を参照してください。

従業員が独自のエントリーを変更できるようにする ACI を作成します。

ユーザーは、uid 属性、manager 属性、および department 属性以外のすべての属性を変更できます。

従業員データのプライバシーを保護するために、従業員とそのマネージャーのみが従業員の自宅住所と電話番号を閲覧できる ACI を作成します。

2 つの管理者グループに適切なディレクトリー権限を与える ACI をディレクトリーツリーの root に作成します。

ディレクトリー管理者グループは、ディレクトリーへのフルアクセスが必要です。メッセージング管理者グループは、mailRecipient および mailGroup オブジェクトクラスと、mail 属性に含まれる属性への書き込みと削除が必要です。Example Corp. は、メッセージング管理者グループ write、delete、および add に、メールグループを作成するためのグループサブディレクトリーへのパーミッションも付与します。

これらは、ディレクトリーツリーの root で一般的な ACI を作成します。これにより、匿名アクセスを読み取り、検索、および比較できます。

この ACI は、パスワード情報への匿名書き込みアクセスを拒否します。

サーバーをサービス拒否攻撃から保護し、不適切な使用から保護するために、ディレクトリークライアントがバインドする DN に基づいてリソース制限を設定します。

例： Corp. 匿名ユーザーは、検索要求、メッセージング管理者ユーザーが 1,000 エントリーを受け取るためのメッセージ管理ユーザー、およびディレクトリー管理者がエントリーを無制限に受信できるように、一度に 100 エントリーを受け取ることができます。

バインド DN に基づいてリソース制限を設定する方法の詳細は、『『Red Hat Directory Server Administrator's Guide』』の「User Account Management」の章を参照してください。

このパスワードポリシーでは、パスワードは 8 文字以上である必要があり、90 日後に有効期限切れにする必要があります。

パスワードポリシーの詳細は、「パスワードポリシーの設計」 を参照してください。

これらは、アカウンティングロールのメンバーにすべての費用のロールアクセスを付与する ACI を作成します。

dsktune ユーティリティーを実行します。

dsktune ユーティリティーは、システムのパッチレベルとカーネルパラメーター設定を簡単にチェックできる、信頼性のある方法を提供します。dsktune の詳細は、『『Red Hat Directory Server インストールガイド』』を参照してください。

エントリーおよびデータベースキャッシュの最適化

Example Corp. はエントリーキャッシュサイズを 2GB に設定し、データベースキャッシュを 250MB に設定し、すべてのインデックスが RAM に適合し、サーバーのパフォーマンスを最適化するようにします。

毎晩、データベースをバックアップします。

SNMP を使用してサーバーの状態を監視します。

SNMP の詳細は、『『Red Hat Directory Server Administrator's Guide』』を参照してください。

アクセスログとエラーログを自動でローテーションします。

エラーログを監視し、サーバーが想定どおりに実行されていることを確認します。

アクセスログを監視して、インデックスを作成すべき検索を選別します。