4.9. Auto Membership プラグインの属性
自動メンバーシップにより、基本的に、静的グループが動的グループのように動作できるようにします。異なる自動メンバー定義により、すべての新規ディレクトリーエントリーで自動的に実行される検索が作成されます。自動メンバールールは、動的検索フィルターと同様に、一致するエントリーを検索し、特定します。次に、これらのエントリーをメンバーとして指定した静的グループに追加します。
Auto Membership プラグイン自体は、のコンテナーエントリーです。各 automember 定義は、Auto Membership プラグインの子です。automember 定義は、LDAP 検索ベースと、エントリーを追加するデフォルトグループを特定するフィルターを定義します。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
各 automember 定義には、グループにエントリーを割り当てる追加の条件を定義する独自の子エントリーを含めることができます。正規表現を使用すると、エントリーを包含または除外し、その条件に基づいて特定のグループに割り当てることができます。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
エントリーがメイン定義に一致し、正規表現条件のいずれにも一致しない場合、メイン定義のグループを使用します。正規表現条件と一致する場合は、正規表現の条件グループに追加されます。
4.9.1. autoMemberDefaultGroup
この属性は、エントリーをメンバーとして追加するデフォルトまたはフォールバックグループを設定します。定義エントリーのみを使用する場合は、一致するすべてのエントリーが追加されるグループになります。正規表現条件が使用される場合、LDAP 検索フィルターに一致するエントリーが正規表現にマッチしない場合、このグループはフォールバックとして使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | 既存の Directory Server グループ |
| デフォルト値 | なし |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
4.9.2. autoMemberDefinition (オブジェクトクラス)
この属性は、エントリーを automember 定義として識別します。このエントリーは、Auto Membership プラグイン (cn=Auto Membership Plugin,cn=plugins,cn=config) の子である必要があります。
使用できる属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
4.9.3. autoMemberExclusiveRegex
この属性は、除外 するエントリーの特定に使用する単一の正規表現を設定します。エントリーが除外条件と一致する場合は、グループに 含まれません。複数の正規表現を使用できます。エントリーがこれらの式のいずれかと一致する場合は、グループで除外されます。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
除外条件は最初に評価され、包含条件よりも優先されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | 正規表現 |
| デフォルト値 | なし |
| 単一値または複数値 | 複数値 |
| 構文 | DirectoryString |
| 例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.4. autoMemberFilter
この属性は、一致するエントリーの検索に使用する標準の LDAP 検索フィルターを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | 有効な LDAP 検索フィルターです。 |
| デフォルト値 | なし |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberFilter:objectclass=ntUser |
4.9.5. autoMemberGroupingAttr
この属性は、group_member_attr:entry_attr の形式で、グループエントリーのメンバー属性と、member 属性値を提供するオブジェクトエントリーの属性を指定します。
この構造では、グループの設定に応じて Automembership プラグインがグループにメンバーを追加する方法。たとえば、groupOfUniqueNames ユーザーグループの場合、各メンバーは uniqueMember 属性として追加されます。uniqueMember の値は、ユーザーエントリーの DN です。基本的に、各グループメンバーは uniqueMember: user_entry_DN の属性/値のペアで識別されます。メンバーエントリーのフォーマットは uniqueMember:dn です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | Directory Server の属性 |
| デフォルト値 | なし |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberGroupingAttr: member:dn |
4.9.6. autoMemberInclusiveRegex
この属性は、追加 するエントリーの特定に使用する単一の正規表現を設定します。複数の正規表現を使用できます。エントリーがこれらの式のいずれかに一致する場合、そのエントリーはグループに含まれます (除外式と一致しない場合)。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | 正規表現 |
| デフォルト値 | なし |
| 単一値または複数値 | 複数値 |
| 構文 | DirectoryString |
| 例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.7. autoMemberProcessModifyOps
デフォルトでは、Directory Server は Automembership プラグインを呼び出して追加および変更操作を行います。この設定では、グループにグループエントリーを追加したり、ユーザーのグループエントリーを変更したりする際に、プラグインがグループを変更します。autoMemberProcessModifyOps を off に設定すると、Directory Server はグループエントリーをユーザーに追加するときにのみ Automembership プラグインを呼び出します。この場合、管理者がユーザーエントリーを変更し、そのエントリーがユーザーが属する Automembership グループに影響を与える場合、プラグインは古いグループからユーザーを削除しず、新規グループのみを追加します。古いグループを更新するには、修正タスクを手動で実行する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberProcessModifyOps: on |
4.9.8. autoMemberRegexRule (オブジェクトクラス)
この属性は、エントリーを正規表現ルールとして識別します。このエントリーは、automember 定義 (objectclass: autoMemberDefinition) の子である必要があります。
使用できる属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
4.9.9. autoMemberScope
この属性は、エントリーを検索するサブツリー DN を設定します。これは検索ベースです。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | Directory Server のサブツリー |
| デフォルト値 | なし |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberScope: dc=example,dc=com |
4.9.10. autoMemberTargetGroup
この属性は、正規表現の条件を満たす場合に、エントリーをメンバーとして追加するグループを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| Valid Range | Directory Server グループ |
| デフォルト値 | なし |
| 単一値または複数値 | 単一値 |
| 構文 | DirectoryString |
| 例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
