JP2002116944A - メンバシップ管理方法 - Google Patents
メンバシップ管理方法Info
- Publication number
- JP2002116944A JP2002116944A JP2000316828A JP2000316828A JP2002116944A JP 2002116944 A JP2002116944 A JP 2002116944A JP 2000316828 A JP2000316828 A JP 2000316828A JP 2000316828 A JP2000316828 A JP 2000316828A JP 2002116944 A JP2002116944 A JP 2002116944A
- Authority
- JP
- Japan
- Prior art keywords
- membership
- directory
- condition
- information
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】グループ数の増大やメンバシップ条件の複雑化
に関わらず、ディレクトリサーバがユーザの所属グルー
プの問い合わせに高速に応答すること、及びシステム管
理者のアクセス制御設定を容易化し、かつアクセス制御
設定に関わるミスを削減することを可能とするメンバシ
ップ管理方法を提供する。 【解決手段】ユーザ等のオブジェクト情報と、グループ
とオブジェクトとの所属関係を表すメンバシップ情報と
を記憶するデータベースを備えるディレクトリサーバ
が、ディレクトリクライアントからの更新要求に従っ
て、ユーザ等のオブジェクト情報を更新すると共に、前
記更新を契機として、オブジェクト情報の更新内容を基
にメンバシップ情報を変更するメンバシップ変更手段
と、オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答する手段と
を備えるディレクトリシステム。
に関わらず、ディレクトリサーバがユーザの所属グルー
プの問い合わせに高速に応答すること、及びシステム管
理者のアクセス制御設定を容易化し、かつアクセス制御
設定に関わるミスを削減することを可能とするメンバシ
ップ管理方法を提供する。 【解決手段】ユーザ等のオブジェクト情報と、グループ
とオブジェクトとの所属関係を表すメンバシップ情報と
を記憶するデータベースを備えるディレクトリサーバ
が、ディレクトリクライアントからの更新要求に従っ
て、ユーザ等のオブジェクト情報を更新すると共に、前
記更新を契機として、オブジェクト情報の更新内容を基
にメンバシップ情報を変更するメンバシップ変更手段
と、オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答する手段と
を備えるディレクトリシステム。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続された複数の情報処理装置から成るディレクトリシス
テムに関する。
続された複数の情報処理装置から成るディレクトリシス
テムに関する。
【0002】
【従来の技術】昨今、企業内、及び企業間にまたがる大
規模な情報システムにおいて、ユーザ、及び1以上のユ
ーザをまとめるグループを一元的に管理するサービスと
して、ディレクトリサービスが運用され始めている。
規模な情報システムにおいて、ユーザ、及び1以上のユ
ーザをまとめるグループを一元的に管理するサービスと
して、ディレクトリサービスが運用され始めている。
【0003】ディレクトリサービスの標準規格として
は、CCITT勧告X.500(ISO9594)シリーズやIETF標準LDA
P(Lightweight Directory Access Protocol、RFC225
1)が挙げられる。X.500によると、ディレクトリサービ
スでは、ユーザやグループはエントリと呼ばれる単位で
管理され、各エントリはDN(Distinguished Name)とい
う全エントリで一意な名前を持つ。また、ユーザエント
リのcn(Common Name)、title、ou(Organizational U
nit)等の属性には、それぞれ氏名、役職、所属等の情
報が格納され、グループエントリのcn、member等の属性
には、それぞれ名前、メンバシップ等の情報が格納され
る。ここで、メンバシップとはグループの所属ユーザ一
覧であり、メンバシップを格納する属性(以下、メンバ
シップ属性という)であるmemberには1以上のユーザエ
ントリのDNが格納される。
は、CCITT勧告X.500(ISO9594)シリーズやIETF標準LDA
P(Lightweight Directory Access Protocol、RFC225
1)が挙げられる。X.500によると、ディレクトリサービ
スでは、ユーザやグループはエントリと呼ばれる単位で
管理され、各エントリはDN(Distinguished Name)とい
う全エントリで一意な名前を持つ。また、ユーザエント
リのcn(Common Name)、title、ou(Organizational U
nit)等の属性には、それぞれ氏名、役職、所属等の情
報が格納され、グループエントリのcn、member等の属性
には、それぞれ名前、メンバシップ等の情報が格納され
る。ここで、メンバシップとはグループの所属ユーザ一
覧であり、メンバシップを格納する属性(以下、メンバ
シップ属性という)であるmemberには1以上のユーザエ
ントリのDNが格納される。
【0004】このようなユーザやグループの情報は、情
報システム内の各種リソース(文書、機器等)を管理す
るリソース管理サーバ(ファイルサーバ、プリントサー
バ等)が、リソースへのアクセスを制御する際に利用す
る。すなわち、リソース管理サーバは、リソース自体と
共に、リソースへアクセス可能なユーザ、或いはリソー
スへアクセス可能なユーザが所属するグループを指定し
たアクセス制御リストを管理する。そして、リソース管
理サーバがユーザからリソースへのアクセス要求を受信
した時、そのユーザの所属グループをディレクトリサー
ビスに問い合わせ、その結果とアクセス制御リストとを
照合し、アクセスを許可するか拒否するかを判断する。
報システム内の各種リソース(文書、機器等)を管理す
るリソース管理サーバ(ファイルサーバ、プリントサー
バ等)が、リソースへのアクセスを制御する際に利用す
る。すなわち、リソース管理サーバは、リソース自体と
共に、リソースへアクセス可能なユーザ、或いはリソー
スへアクセス可能なユーザが所属するグループを指定し
たアクセス制御リストを管理する。そして、リソース管
理サーバがユーザからリソースへのアクセス要求を受信
した時、そのユーザの所属グループをディレクトリサー
ビスに問い合わせ、その結果とアクセス制御リストとを
照合し、アクセスを許可するか拒否するかを判断する。
【0005】これまで述べたようなグループのメンバシ
ップはユーザとグループとを結びつける一種の関連付け
と言える。関連付けの管理負荷は、ユーザやグループ等
のオブジェクト数の増加と共に増大するのが一般的であ
る。
ップはユーザとグループとを結びつける一種の関連付け
と言える。関連付けの管理負荷は、ユーザやグループ等
のオブジェクト数の増加と共に増大するのが一般的であ
る。
【0006】このような関連付けの管理を容易化する技
術として、米国特許US6067548が挙げられる。この技術
が開示する技術は、ワークフローシステムにおいて、2
つのオブジェクトを関連付ける際に、関連付ける2オブ
ジェクトを明示的に指定するのではなく、2オブジェク
トの属性が満足すべき条件を指定し、実際にどのオブジ
ェクトが関連付けられるかを動作時に評価することを特
徴とする。
術として、米国特許US6067548が挙げられる。この技術
が開示する技術は、ワークフローシステムにおいて、2
つのオブジェクトを関連付ける際に、関連付ける2オブ
ジェクトを明示的に指定するのではなく、2オブジェク
トの属性が満足すべき条件を指定し、実際にどのオブジ
ェクトが関連付けられるかを動作時に評価することを特
徴とする。
【0007】
【発明が解決しようとする課題】企業情報システムにお
けるリソースへのアクセス権は、ユーザの所属や役職に
よって決定される場合が特に多いため、グループは主に
部署や役職毎に作成される。従って、企業が大規模であ
り部署や役職が多いほど、グループ数も増大する傾向に
ある。
けるリソースへのアクセス権は、ユーザの所属や役職に
よって決定される場合が特に多いため、グループは主に
部署や役職毎に作成される。従って、企業が大規模であ
り部署や役職が多いほど、グループ数も増大する傾向に
ある。
【0008】また、所属や役職が異なるユーザに同一の
アクセス権を与える場合や、所属と役職の組み合わせで
アクセス権が決定される場合も多い。前者の例として、
経理課に所属するユーザと総務課に所属するユーザ(す
なわち、全ての総務部員)に同一のアクセス権を与える
場合が挙げられ、後者の例として、部署が総務部で、か
つ役職が課長であるユーザに同一のアクセス権を与える
場合が挙げられる。このようなアクセス制御を実施する
ためのメンバシップ条件は、複雑化する傾向にある。
アクセス権を与える場合や、所属と役職の組み合わせで
アクセス権が決定される場合も多い。前者の例として、
経理課に所属するユーザと総務課に所属するユーザ(す
なわち、全ての総務部員)に同一のアクセス権を与える
場合が挙げられ、後者の例として、部署が総務部で、か
つ役職が課長であるユーザに同一のアクセス権を与える
場合が挙げられる。このようなアクセス制御を実施する
ためのメンバシップ条件は、複雑化する傾向にある。
【0009】前記従来技術をディレクトリサービスにお
けるメンバシップ管理へ適用するには、グループ毎に、
所属ユーザが満たすべき条件であるメンバシップ条件を
記憶するディレクトリサーバが、リソース管理サーバか
らユーザの所属グループの問い合わせを受信した時点
で、全てのグループのメンバシップをメンバシップ条件
に基づき計算し、当該ユーザをメンバシップに含むグル
ープを列挙し、その結果をリソース管理サーバへ送信す
ればよい。
けるメンバシップ管理へ適用するには、グループ毎に、
所属ユーザが満たすべき条件であるメンバシップ条件を
記憶するディレクトリサーバが、リソース管理サーバか
らユーザの所属グループの問い合わせを受信した時点
で、全てのグループのメンバシップをメンバシップ条件
に基づき計算し、当該ユーザをメンバシップに含むグル
ープを列挙し、その結果をリソース管理サーバへ送信す
ればよい。
【0010】前記従来技術を適用したディレクトリサー
バは、ユーザの所属グループの問い合わせを受信した時
点で全てのグループに関してメンバシップ計算処理を実
行するため、グループ数の増大、及びメンバシップ条件
の複雑化に伴いメンバシップ計算処理の所要時間が増加
し、その結果、問い合わせの応答性能が大幅に劣化す
る。従って、前記従来技術を大規模企業情報システムに
適用することは困難である。
バは、ユーザの所属グループの問い合わせを受信した時
点で全てのグループに関してメンバシップ計算処理を実
行するため、グループ数の増大、及びメンバシップ条件
の複雑化に伴いメンバシップ計算処理の所要時間が増加
し、その結果、問い合わせの応答性能が大幅に劣化す
る。従って、前記従来技術を大規模企業情報システムに
適用することは困難である。
【0011】メンバシップ条件の複雑化は、システム管
理者のメンバシップ条件の設定負荷を増大させ、結果的
に設定ミスの増加を招く。このような問題を解決するた
め、X.500(付録A.3.6)では、複数グループの和集合を
表わすために、グループのメンバシップに別のグループ
を加えることが許可されている。このような、グループ
のネスト構造を利用することにより、属性が異なるユー
ザに同一のアクセス権を与える場合のアクセス制御設定
が容易になる。例えば、全ての総務部員に同一のアクセ
ス権を与える場合、経理課グループと総務課グループを
メンバシップに含むグループを作成すればよい。
理者のメンバシップ条件の設定負荷を増大させ、結果的
に設定ミスの増加を招く。このような問題を解決するた
め、X.500(付録A.3.6)では、複数グループの和集合を
表わすために、グループのメンバシップに別のグループ
を加えることが許可されている。このような、グループ
のネスト構造を利用することにより、属性が異なるユー
ザに同一のアクセス権を与える場合のアクセス制御設定
が容易になる。例えば、全ての総務部員に同一のアクセ
ス権を与える場合、経理課グループと総務課グループを
メンバシップに含むグループを作成すればよい。
【0012】しかし、X.500では、ユーザの所属グルー
プの問い合わせを受信したディレクトリサーバは、当該
ユーザが直接所属するグループのみを返すことが規定さ
れているため、リソース管理サーバ等のディレクトリク
ライアントが、ディレクトリサーバから受信したグルー
プが所属するグループを再帰的に問い合わせることによ
り、グループのネスト構造を解析する必要がある。この
ような再帰的な問い合わせは、リソース管理サーバがユ
ーザの所属グループを決定する処理の性能を劣化させる
要因であり、特に、ネスト構造が深い場合その性能劣化
が深刻であった。また、複数属性の組み合わせでアクセ
ス権が決定される場合には、依然として、複雑なメンバ
シップ条件の設定が必要であった。
プの問い合わせを受信したディレクトリサーバは、当該
ユーザが直接所属するグループのみを返すことが規定さ
れているため、リソース管理サーバ等のディレクトリク
ライアントが、ディレクトリサーバから受信したグルー
プが所属するグループを再帰的に問い合わせることによ
り、グループのネスト構造を解析する必要がある。この
ような再帰的な問い合わせは、リソース管理サーバがユ
ーザの所属グループを決定する処理の性能を劣化させる
要因であり、特に、ネスト構造が深い場合その性能劣化
が深刻であった。また、複数属性の組み合わせでアクセ
ス権が決定される場合には、依然として、複雑なメンバ
シップ条件の設定が必要であった。
【0013】本発明の第一の目的は、グループ数の増
大、及びメンバシップ条件の複雑化に関わらず、ユーザ
の所属グループを問い合わせる際の応答性能が劣化しな
いメンバシップ管理方法を提供することにある。
大、及びメンバシップ条件の複雑化に関わらず、ユーザ
の所属グループを問い合わせる際の応答性能が劣化しな
いメンバシップ管理方法を提供することにある。
【0014】本発明の第二の目的は、システム管理者の
アクセス制御設定を容易化し、かつ設定ミスを削減可能
なメンバシップ管理方法を提供することにある。
アクセス制御設定を容易化し、かつ設定ミスを削減可能
なメンバシップ管理方法を提供することにある。
【0015】
【課題を解決するための手段】前記第一の目的を達成す
るために、本発明のメンバシップ管理方法は、ディレク
トリサーバにおいて、要求に応じて、ユーザ等のオブジ
ェクトを表わすエントリの更新(追加、属性変更、削
除)を行う手段だけでなく、オブジェクトのグループ毎
にメンバシップ条件を設定する手段と、前記オブジェク
トを表すエントリの更新内容とメンバシップ条件とを照
合し、その照合結果に基づきグループを表すエントリの
メンバシップ属性の差分を計算する手段と、前記メンバ
シップ属性の差分をデータベースへ反映することによ
り、最新のメンバシップ属性をデータベースへ格納する
手段を設けるものである。
るために、本発明のメンバシップ管理方法は、ディレク
トリサーバにおいて、要求に応じて、ユーザ等のオブジ
ェクトを表わすエントリの更新(追加、属性変更、削
除)を行う手段だけでなく、オブジェクトのグループ毎
にメンバシップ条件を設定する手段と、前記オブジェク
トを表すエントリの更新内容とメンバシップ条件とを照
合し、その照合結果に基づきグループを表すエントリの
メンバシップ属性の差分を計算する手段と、前記メンバ
シップ属性の差分をデータベースへ反映することによ
り、最新のメンバシップ属性をデータベースへ格納する
手段を設けるものである。
【0016】ディレクトリサーバがメンバシップに関す
る問い合わせを受けると、データベースに格納したメン
バシップ属性を検索して回答するので、問い合わせを受
けるたびメンバシップ計算処理を行っていた従来技術に
比べ、高速に回答できるという特徴がある。また、本発
明のメンバシップ管理方法では、ディレクトリサーバが
メンバシップ属性を置換するのではなく差分のみを更新
するため、前記オブジェクトを表すエントリを更新する
時にディレクトリサーバにかかるCPU負荷の増加を極小
化できる。
る問い合わせを受けると、データベースに格納したメン
バシップ属性を検索して回答するので、問い合わせを受
けるたびメンバシップ計算処理を行っていた従来技術に
比べ、高速に回答できるという特徴がある。また、本発
明のメンバシップ管理方法では、ディレクトリサーバが
メンバシップ属性を置換するのではなく差分のみを更新
するため、前記オブジェクトを表すエントリを更新する
時にディレクトリサーバにかかるCPU負荷の増加を極小
化できる。
【0017】さらに、従来技術はメンバシップ計算処理
の結果を保存しないため、メンバシップに関する同一の
問い合わせを連続して受信する場合でも、問い合わせ毎
にメンバシップ計算処理を実行していたのに対して、本
発明のメンバシップ管理方法は、オブジェクトを表すエ
ントリの更新時に1回メンバシップ属性の変更内容を計
算するだけで済む。その結果、メンバシップに関する同
一の問い合わせが連続する場合の、ディレクトリサーバ
のCPU負荷が軽減されるため、問い合わせ要求に対する
ディレクトリサーバのスループットを大幅に向上でき
る。
の結果を保存しないため、メンバシップに関する同一の
問い合わせを連続して受信する場合でも、問い合わせ毎
にメンバシップ計算処理を実行していたのに対して、本
発明のメンバシップ管理方法は、オブジェクトを表すエ
ントリの更新時に1回メンバシップ属性の変更内容を計
算するだけで済む。その結果、メンバシップに関する同
一の問い合わせが連続する場合の、ディレクトリサーバ
のCPU負荷が軽減されるため、問い合わせ要求に対する
ディレクトリサーバのスループットを大幅に向上でき
る。
【0018】さらに、本発明のメンバシップ管理方法
は、要求に応じて、オブジェクトを表わすエントリの更
新を行う手段に加え、1以上のグループの論理演算によ
る組み合わせを指定した組み合わせ条件を設定する手段
と、更新されたオブジェクトが所属するグループを列挙
する手段と、その結果と組み合わせ条件とを照合する手
段と、その照合結果に基づき1以上のグループを組み合
わせたグループを表すエントリのメンバシップ属性の変
更内容を計算する手段と、変更後のメンバシップ属性を
データベースへ格納する手段を提供する。
は、要求に応じて、オブジェクトを表わすエントリの更
新を行う手段に加え、1以上のグループの論理演算によ
る組み合わせを指定した組み合わせ条件を設定する手段
と、更新されたオブジェクトが所属するグループを列挙
する手段と、その結果と組み合わせ条件とを照合する手
段と、その照合結果に基づき1以上のグループを組み合
わせたグループを表すエントリのメンバシップ属性の変
更内容を計算する手段と、変更後のメンバシップ属性を
データベースへ格納する手段を提供する。
【0019】かかるメンバシップ管理方法により、メン
バシップ条件が複雑になることを防げるため、複数属性
の組み合わせでアクセス権が決定される場合でも前記メ
ンバシップ属性の変更内容計算処理に要する時間が長く
ならない。また、変更後のメンバシップ属性をデータベ
ースへ格納するため、ディレクトリサーバがメンバシッ
プに関する問い合わせへ高速に回答可能である。
バシップ条件が複雑になることを防げるため、複数属性
の組み合わせでアクセス権が決定される場合でも前記メ
ンバシップ属性の変更内容計算処理に要する時間が長く
ならない。また、変更後のメンバシップ属性をデータベ
ースへ格納するため、ディレクトリサーバがメンバシッ
プに関する問い合わせへ高速に回答可能である。
【0020】さらに、複数グループを様々な論理演算で
組み合わせ可能としたことにより、複数属性の組み合わ
せでアクセス権が決定されるような複雑なアクセス制御
に必要な設定作業が容易になり、かつ設定ミスを削減で
きる。これにより前記第2の目的も達成される。
組み合わせ可能としたことにより、複数属性の組み合わ
せでアクセス権が決定されるような複雑なアクセス制御
に必要な設定作業が容易になり、かつ設定ミスを削減で
きる。これにより前記第2の目的も達成される。
【0021】
【発明の実施の形態】以下、本発明の実施例について図
面を用いて説明する。以下の図中、同一の部分には同一
の符号を付加する。尚、本実施例においては、本発明を
適用するディレクトリサービスとしてLDAPディレクトリ
サービスを例にとり説明するが、本発明はX.500ディレ
クトリサービス等、様々なディレクトリサービスに適用
可能である。また、グループがまとめる対象としてユー
ザを例にとり説明するが、本発明は機器やアプリケーシ
ョン等、様々なオブジェクトに適用可能である。
面を用いて説明する。以下の図中、同一の部分には同一
の符号を付加する。尚、本実施例においては、本発明を
適用するディレクトリサービスとしてLDAPディレクトリ
サービスを例にとり説明するが、本発明はX.500ディレ
クトリサービス等、様々なディレクトリサービスに適用
可能である。また、グループがまとめる対象としてユー
ザを例にとり説明するが、本発明は機器やアプリケーシ
ョン等、様々なオブジェクトに適用可能である。
【0022】図1は、第一の実施例のディレクトリシス
テム1の構成図であり、ディレクトリサーバ2、リソース
管理サーバ3、ディレクトリ情報管理クライアント4が、
LAN等のネットワーク20を介して接続されている。リソ
ース管理サーバ3は、リソースに対するアクセス制御を
実施するためにユーザの所属グループをディレクトリサ
ーバ2へ問い合わせる。ディレクトリ情報管理クライア
ント4は、システム管理者等のディレクトリ情報の管理
者(以下、システム管理者という)から、ユーザ及びグ
ループの更新(追加、属性変更、削除)に関する入力、
及びメンバシップ条件と組み合わせ条件の設定に関する
入力を受け付け、入力内容に基づきディレクトリサーバ
2に対して更新要求を発行する。
テム1の構成図であり、ディレクトリサーバ2、リソース
管理サーバ3、ディレクトリ情報管理クライアント4が、
LAN等のネットワーク20を介して接続されている。リソ
ース管理サーバ3は、リソースに対するアクセス制御を
実施するためにユーザの所属グループをディレクトリサ
ーバ2へ問い合わせる。ディレクトリ情報管理クライア
ント4は、システム管理者等のディレクトリ情報の管理
者(以下、システム管理者という)から、ユーザ及びグ
ループの更新(追加、属性変更、削除)に関する入力、
及びメンバシップ条件と組み合わせ条件の設定に関する
入力を受け付け、入力内容に基づきディレクトリサーバ
2に対して更新要求を発行する。
【0023】ディレクトリサーバ2は、中央演算装置CPU
24、ハードディスク等の2次記憶装置(以下、磁気ディ
スク23という)、主記憶装置メモリ(以下、主メモリ21
という)、バス22から構成される。
24、ハードディスク等の2次記憶装置(以下、磁気ディ
スク23という)、主記憶装置メモリ(以下、主メモリ21
という)、バス22から構成される。
【0024】磁気ディスク23には、ディレクトリ情報を
記憶するDB8、受信したディレクトリ情報の更新要求を
記録するアクセスログファイル9が格納される。
記憶するDB8、受信したディレクトリ情報の更新要求を
記録するアクセスログファイル9が格納される。
【0025】主メモリ21には、本発明を実現するプログ
ラムが格納される。具体的には、リソース管理サーバ3
やディレクトリ情報管理クライアント4との間の通信処
理を実行する通信制御プログラム5、受信したアクセス
要求の解析や送信するアクセス応答の組み立てを行うプ
ロトコル解析プログラム6s、DB8の探索・更新を処理す
るDB制御プログラム7、本発明のメンバシップ管理方法
に関わる処理を実行するメンバシップ管理プログラム10
が格納される。さらにメンバシップ管理プログラム10
は、ユーザがグループのメンバシップ条件に合致するか
の判定や、ユーザの所属グループが組み合わせ条件に合
致するかの判定を行った上でメンバシップ属性の差分を
計算する差分計算プログラム11、前記差分計算プログラ
ム11の計算結果に基づき、DB8に格納されたグループエ
ントリのメンバシップ属性を変更するメンバシップ変更
プログラム13を含む。
ラムが格納される。具体的には、リソース管理サーバ3
やディレクトリ情報管理クライアント4との間の通信処
理を実行する通信制御プログラム5、受信したアクセス
要求の解析や送信するアクセス応答の組み立てを行うプ
ロトコル解析プログラム6s、DB8の探索・更新を処理す
るDB制御プログラム7、本発明のメンバシップ管理方法
に関わる処理を実行するメンバシップ管理プログラム10
が格納される。さらにメンバシップ管理プログラム10
は、ユーザがグループのメンバシップ条件に合致するか
の判定や、ユーザの所属グループが組み合わせ条件に合
致するかの判定を行った上でメンバシップ属性の差分を
計算する差分計算プログラム11、前記差分計算プログラ
ム11の計算結果に基づき、DB8に格納されたグループエ
ントリのメンバシップ属性を変更するメンバシップ変更
プログラム13を含む。
【0026】ディレクトリ情報管理クライアント4は、C
PU24、主メモリ21、バス22、磁気ディスク23、表示装置
などの出力装置(以下、ディスプレイ25という)、入力
装置(以下、キーボード27、マウス26という)から構成
される。
PU24、主メモリ21、バス22、磁気ディスク23、表示装置
などの出力装置(以下、ディスプレイ25という)、入力
装置(以下、キーボード27、マウス26という)から構成
される。
【0027】ディレクトリ情報管理クライアント4の主
メモリ21は、通信制御プログラム5、送信するアクセス
要求の組み立てや受信したアクセス応答の解析を行うプ
ロトコル解析プログラム6c、システム管理者からのキー
入力やディスプレイ25への表示を処理するユーザI/F制
御プログラム15、システム管理者からの入力に従ってユ
ーザエントリ、及びグループエントリの更新要求をディ
レクトリサーバ2に対して発行するエントリ更新プログ
ラム18、システム管理者が入力したメンバシップ条件と
組み合わせ条件をDB8に設定するようディレクトリサー
バ2に対してグループエントリの属性変更要求を発行す
る条件設定プログラム14を含む。
メモリ21は、通信制御プログラム5、送信するアクセス
要求の組み立てや受信したアクセス応答の解析を行うプ
ロトコル解析プログラム6c、システム管理者からのキー
入力やディスプレイ25への表示を処理するユーザI/F制
御プログラム15、システム管理者からの入力に従ってユ
ーザエントリ、及びグループエントリの更新要求をディ
レクトリサーバ2に対して発行するエントリ更新プログ
ラム18、システム管理者が入力したメンバシップ条件と
組み合わせ条件をDB8に設定するようディレクトリサー
バ2に対してグループエントリの属性変更要求を発行す
る条件設定プログラム14を含む。
【0028】これらのプログラムは、あらかじめ、また
は可搬型記録媒体からの読み込み、またはネットワーク
20に接続された他のサーバからのダウンロードにより、
磁気ディスク23に格納され、必要に応じて主メモリ21に
転送された後、CPU24で実行される。
は可搬型記録媒体からの読み込み、またはネットワーク
20に接続された他のサーバからのダウンロードにより、
磁気ディスク23に格納され、必要に応じて主メモリ21に
転送された後、CPU24で実行される。
【0029】本実施例のリソース管理サーバ3のシステ
ム構成は従来と同様である。
ム構成は従来と同様である。
【0030】本発明を適用したディレクトリサービスの
情報例を図2に示す。図中、矩形はエントリを表わす。
図2では全グループエントリが“Groups”エントリ直下
に配置されているが、グループエントリがディレクトリ
ツリー上の任意の位置に配置される場合にも本発明は適
用可能である。ユーザエントリに関しても同様である。
情報例を図2に示す。図中、矩形はエントリを表わす。
図2では全グループエントリが“Groups”エントリ直下
に配置されているが、グループエントリがディレクトリ
ツリー上の任意の位置に配置される場合にも本発明は適
用可能である。ユーザエントリに関しても同様である。
【0031】100は経理課員をまとめるグループエント
リである。また、グループエントリ100はメンバシップ
条件を格納する属性であるmembershipCondition107を保
持しており、ouの値が“経理課”であるエントリが表わ
すユーザがメンバシップに含まれることを表わす。同様
に、101、102は、それぞれ総務課員、課長をまとめるグ
ループエントリである。
リである。また、グループエントリ100はメンバシップ
条件を格納する属性であるmembershipCondition107を保
持しており、ouの値が“経理課”であるエントリが表わ
すユーザがメンバシップに含まれることを表わす。同様
に、101、102は、それぞれ総務課員、課長をまとめるグ
ループエントリである。
【0032】103は経理課員と総務課員の和集合となる
総務部員をまとめるグループエントリである。グループ
エントリ103は組み合わせ条件を格納する属性であるgro
upCombination110を保持しており、その値は、当該グル
ープのメンバシップが、経理課グループに所属するユー
ザと総務課グループに所属するユーザとを含むことを表
わす。ここで、“|”は和集合を表わす。
総務部員をまとめるグループエントリである。グループ
エントリ103は組み合わせ条件を格納する属性であるgro
upCombination110を保持しており、その値は、当該グル
ープのメンバシップが、経理課グループに所属するユー
ザと総務課グループに所属するユーザとを含むことを表
わす。ここで、“|”は和集合を表わす。
【0033】104は総務部の課長をまとめるためのグル
ープエントリである。グループエントリ104のgroupComb
ination112は、当該グループのメンバシップが、総務部
グループに所属し、かつ課長グループにも所属するユー
ザを含むことを表わす。ここで、“&”は積集合を表わ
す。
ープエントリである。グループエントリ104のgroupComb
ination112は、当該グループのメンバシップが、総務部
グループに所属し、かつ課長グループにも所属するユー
ザを含むことを表わす。ここで、“&”は積集合を表わ
す。
【0034】本発明によると、経理課の一般社員である
ユーザ“加藤次郎”を表わすユーザエントリ105が追加
された時、そのou115、title116の値がそれぞれ“経理
課”、“一般社員”であるため、グループエントリ10
0、103のメンバシップ属性であるmember108、111に、当
該ユーザエントリのDN114が追加される。同様に、総務
課員のユーザ“鈴木一郎”を表わすユーザエントリ106
のtitleが“課長”に変更された時、グループエントリ1
02、104のmember109、113に、当該ユーザエントリのDN
が追加される。
ユーザ“加藤次郎”を表わすユーザエントリ105が追加
された時、そのou115、title116の値がそれぞれ“経理
課”、“一般社員”であるため、グループエントリ10
0、103のメンバシップ属性であるmember108、111に、当
該ユーザエントリのDN114が追加される。同様に、総務
課員のユーザ“鈴木一郎”を表わすユーザエントリ106
のtitleが“課長”に変更された時、グループエントリ1
02、104のmember109、113に、当該ユーザエントリのDN
が追加される。
【0035】ところで、図2では、LDAPフィルタ(RFC22
54)のシンタックスを用いてメンバシップ条件を表記し
ているが、その他のシンタックスを用いてもよい。例え
ば、LDAP URL(Uniform Resource Locator、RFC2255)
のシンタックスを用いると、メンバシップに加えるユー
ザをディレクトリツリー上の位置により制限することが
可能となる。
54)のシンタックスを用いてメンバシップ条件を表記し
ているが、その他のシンタックスを用いてもよい。例え
ば、LDAP URL(Uniform Resource Locator、RFC2255)
のシンタックスを用いると、メンバシップに加えるユー
ザをディレクトリツリー上の位置により制限することが
可能となる。
【0036】また、図2では、論理和(OR)、論理積(A
ND)を表わす組み合わせ条件を例示したが、排他論理和
(XOR)、否定(NOT)等、他の論理演算を使用可能にし
てもよい。また、組み合わせ条件もLDAPフィルタのシン
タックスを用いて表記しているが、その他のシンタック
スを用いてもよい。さらに、グループのネスト構造をグ
ループの和集合を表わすものと解釈してもよい。
ND)を表わす組み合わせ条件を例示したが、排他論理和
(XOR)、否定(NOT)等、他の論理演算を使用可能にし
てもよい。また、組み合わせ条件もLDAPフィルタのシン
タックスを用いて表記しているが、その他のシンタック
スを用いてもよい。さらに、グループのネスト構造をグ
ループの和集合を表わすものと解釈してもよい。
【0037】以下、第一の実施例におけるメンバシップ
管理方法の動作を説明する。
管理方法の動作を説明する。
【0038】最初に、図3を用いて第一の実施例に関わ
る通信シーケンスを説明する。
る通信シーケンスを説明する。
【0039】部署の新設等に伴いグループ更新が必要と
なった場合、システム管理者が、ユーザI/F制御プログ
ラム15が表示するグループ管理用画面を用いてグループ
更新を指示すると、ディレクトリ情報管理クライアント
4のエントリ更新プログラム18が、ディレクトリサーバ2
に対してグループエントリの更新要求200を発行する。
ディレクトリサーバ2は、前記更新要求200を受信する
と、要求された更新をDB8へ反映した後、更新応答201を
返す。
なった場合、システム管理者が、ユーザI/F制御プログ
ラム15が表示するグループ管理用画面を用いてグループ
更新を指示すると、ディレクトリ情報管理クライアント
4のエントリ更新プログラム18が、ディレクトリサーバ2
に対してグループエントリの更新要求200を発行する。
ディレクトリサーバ2は、前記更新要求200を受信する
と、要求された更新をDB8へ反映した後、更新応答201を
返す。
【0040】次に、システム管理者が、ユーザI/F制御
プログラム15が表示する条件設定用画面(図4)を用い
て条件設定を指示すると、システム管理者が入力したメ
ンバシップ条件と組み合わせ条件をDB8へ格納すべく、
ディレクトリ情報管理クライアント4が、条件設定プロ
グラム14の条件設定処理を実行し、ディレクトリサーバ
2に対してグループエントリの属性変更要求202を発行す
る。ディレクトリサーバ2は、前記属性変更要求202を受
信すると、要求された属性変更をDB8へ反映した後、属
性変更応答203を返す。
プログラム15が表示する条件設定用画面(図4)を用い
て条件設定を指示すると、システム管理者が入力したメ
ンバシップ条件と組み合わせ条件をDB8へ格納すべく、
ディレクトリ情報管理クライアント4が、条件設定プロ
グラム14の条件設定処理を実行し、ディレクトリサーバ
2に対してグループエントリの属性変更要求202を発行す
る。ディレクトリサーバ2は、前記属性変更要求202を受
信すると、要求された属性変更をDB8へ反映した後、属
性変更応答203を返す。
【0041】その後、新設された部署への社員の割り当
て等に伴いユーザ更新が必要となった場合、システム管
理者が、ユーザI/F制御プログラム15が表示するユーザ
管理画面を用いてユーザ更新を指示すると、ディレクト
リ情報管理クライアント4のエントリ更新プログラム18
が、ユーザエントリの更新要求204をディレクトリサー
バ2へ発行する。その後、ディレクトリサーバ2が、要求
された更新をDB8へ反映し、更新応答205を返す。次に、
ディレクトリサーバ2が、差分計算プログラム11の差分
計算処理を実行し、グループエントリのメンバシップ属
性の変更内容を決定する。次に、ディレクトリサーバ2
が、メンバシップ変更プログラム13のメンバシップ変更
処理を実行し、前記メンバシップ属性の変更内容をDB8
へ反映する。
て等に伴いユーザ更新が必要となった場合、システム管
理者が、ユーザI/F制御プログラム15が表示するユーザ
管理画面を用いてユーザ更新を指示すると、ディレクト
リ情報管理クライアント4のエントリ更新プログラム18
が、ユーザエントリの更新要求204をディレクトリサー
バ2へ発行する。その後、ディレクトリサーバ2が、要求
された更新をDB8へ反映し、更新応答205を返す。次に、
ディレクトリサーバ2が、差分計算プログラム11の差分
計算処理を実行し、グループエントリのメンバシップ属
性の変更内容を決定する。次に、ディレクトリサーバ2
が、メンバシップ変更プログラム13のメンバシップ変更
処理を実行し、前記メンバシップ属性の変更内容をDB8
へ反映する。
【0042】そして、リソース管理サーバ3が、ユーザ
の所属グループの問い合わせ要求206をディレクトリサ
ーバ2へ発行すると、ディレクトリサーバ2が、既に変更
されているメンバシップ属性を基に、指定されたユーザ
の所属グループを特定し、その結果を問い合わせ応答20
7として返す。
の所属グループの問い合わせ要求206をディレクトリサ
ーバ2へ発行すると、ディレクトリサーバ2が、既に変更
されているメンバシップ属性を基に、指定されたユーザ
の所属グループを特定し、その結果を問い合わせ応答20
7として返す。
【0043】例えば、図2の例において、ディレクトリ
サーバが、リソース管理サーバ等のディレクトリクライ
アントからユーザ“加藤次郎”の所属グループの問い合
わせを受信した時(206)、当該ユーザを表わすエントリ
105のDN114をmemberの値として持つグループエントリを
探索し、その結果、グループエントリ100、及び103のDN
をディレクトリクライアントへ送信する(207)。
サーバが、リソース管理サーバ等のディレクトリクライ
アントからユーザ“加藤次郎”の所属グループの問い合
わせを受信した時(206)、当該ユーザを表わすエントリ
105のDN114をmemberの値として持つグループエントリを
探索し、その結果、グループエントリ100、及び103のDN
をディレクトリクライアントへ送信する(207)。
【0044】次に、ディレクトリ情報管理クライアント
4のユーザI/F制御プログラム15が表示する条件設定画面
を、図4を用いて説明する。
4のユーザI/F制御プログラム15が表示する条件設定画面
を、図4を用いて説明する。
【0045】図4は、グループのメンバシップ条件、及
び組み合わせ条件を設定する為の画面表示例である。画
面40は、条件設定を行うグループの名前を表示する領域
50、条件設定を行うグループを選択するボタン51、メン
バシップ条件に使用する属性名を表示する領域52、属性
名を選択するボタン53、メンバシップ条件に使用する属
性値を入力する領域54、属性値の比較方法を表示する領
域55、比較方法を選択するボタン56(例えば、完全一致
を表わす「である」、前方一致を表す「で始まる」、後
方一致を表す「で終わる」、部分一致を表わす「を含
む」、大小比較を表わす「より大きい」「より小さい」
から選択)、組み合わせ条件に使用する論理演算を選択
するボタン57、ボタン58(それぞれ和集合、積集合を表
わす)、組み合わせ条件の対象グループの名前を表示す
る領域59、領域61、対象グループを選択するボタン60、
ボタン62、対象グループを追加するボタン63、削除する
ボタン64、入力した情報を設定するためのボタン65、入
力中の情報をキャンセルするためのボタン66から構成さ
れる。システム管理者が各パラメータを入力後、ボタン
65を押下した時、ディレクトリ情報管理プログラム4が
条件設定プログラム14の条件設定処理を実行する。
び組み合わせ条件を設定する為の画面表示例である。画
面40は、条件設定を行うグループの名前を表示する領域
50、条件設定を行うグループを選択するボタン51、メン
バシップ条件に使用する属性名を表示する領域52、属性
名を選択するボタン53、メンバシップ条件に使用する属
性値を入力する領域54、属性値の比較方法を表示する領
域55、比較方法を選択するボタン56(例えば、完全一致
を表わす「である」、前方一致を表す「で始まる」、後
方一致を表す「で終わる」、部分一致を表わす「を含
む」、大小比較を表わす「より大きい」「より小さい」
から選択)、組み合わせ条件に使用する論理演算を選択
するボタン57、ボタン58(それぞれ和集合、積集合を表
わす)、組み合わせ条件の対象グループの名前を表示す
る領域59、領域61、対象グループを選択するボタン60、
ボタン62、対象グループを追加するボタン63、削除する
ボタン64、入力した情報を設定するためのボタン65、入
力中の情報をキャンセルするためのボタン66から構成さ
れる。システム管理者が各パラメータを入力後、ボタン
65を押下した時、ディレクトリ情報管理プログラム4が
条件設定プログラム14の条件設定処理を実行する。
【0046】次に、条件設定プログラム14の条件設定処
理について説明する。当該処理では、システム管理者が
ボタン51で選択したグループを表すグループエントリに
関して、52から56で指定されたメンバシップ条件と57か
ら62で指定された組み合わせ条件を、それぞれmembersh
ipCondition属性とgroupCombination属性へ特定のシン
タックスに沿って追加する属性変更要求をディレクトリ
サーバ2へ発行する。
理について説明する。当該処理では、システム管理者が
ボタン51で選択したグループを表すグループエントリに
関して、52から56で指定されたメンバシップ条件と57か
ら62で指定された組み合わせ条件を、それぞれmembersh
ipCondition属性とgroupCombination属性へ特定のシン
タックスに沿って追加する属性変更要求をディレクトリ
サーバ2へ発行する。
【0047】本実施例では、条件設定プログラム14が、
membershipCondition属性とgroupCombination属性のみ
の追加を行う事としたため、グループの条件設定を行っ
た後、そのグループに所属するユーザの追加を行う必要
がある。しかし、条件設定プログラム14が、入力された
メンバシップ条件と組み合わせ条件に従ってグループの
メンバシップを計算し、membershipCondition属性とgro
upCombination属性と共にmember属性の追加も実行する
ようにしてもよい。これにより、ユーザの追加を行った
後、グループの条件設定を行えるようになる。
membershipCondition属性とgroupCombination属性のみ
の追加を行う事としたため、グループの条件設定を行っ
た後、そのグループに所属するユーザの追加を行う必要
がある。しかし、条件設定プログラム14が、入力された
メンバシップ条件と組み合わせ条件に従ってグループの
メンバシップを計算し、membershipCondition属性とgro
upCombination属性と共にmember属性の追加も実行する
ようにしてもよい。これにより、ユーザの追加を行った
後、グループの条件設定を行えるようになる。
【0048】次に、差分計算プログラム11の差分計算処
理を、図5を用いて説明する。差分計算プログラム11
は、ディレクトリサーバ2が、ユーザエントリの更新要
求を受信し、要求された更新をDB8へ反映した後、引き
続き実行する。また、当該処理では、文字列配列である
ワーク配列A、ワーク配列Bというワーク領域を使用す
る。ワーク配列A、ワーク配列Bは、それぞれユーザをメ
ンバシップに追加、削除するグループ一覧を管理する目
的で使用する。これらのワーク領域は、ディレクトリサ
ーバが、当該処理の開始時に図1の主メモリ21に動的に
確保し、当該処理の終了時に解放する。
理を、図5を用いて説明する。差分計算プログラム11
は、ディレクトリサーバ2が、ユーザエントリの更新要
求を受信し、要求された更新をDB8へ反映した後、引き
続き実行する。また、当該処理では、文字列配列である
ワーク配列A、ワーク配列Bというワーク領域を使用す
る。ワーク配列A、ワーク配列Bは、それぞれユーザをメ
ンバシップに追加、削除するグループ一覧を管理する目
的で使用する。これらのワーク領域は、ディレクトリサ
ーバが、当該処理の開始時に図1の主メモリ21に動的に
確保し、当該処理の終了時に解放する。
【0049】当該処理では、最初に、更新されたユーザ
エントリの更新種別に従って処理を分岐する(S601)。
以下、更新種別が追加、及び属性変更の場合の処理につ
いて説明する。まず、DB8からグループエントリを探索
し、全てのグループエントリの情報を読み出し、その情
報を、組み合わせ条件が設定されているグループエント
リが、その組み合わせ条件で組み合わせ対象に指定され
ているグループエントリの後になるようにソートした上
で(S602)、各グループエントリに関して、メンバシッ
プ条件判定処理S603と組み合わせ条件判定処理S604を実
行する(S603〜S606)。S603、S604の詳細は後述する。
エントリの更新種別に従って処理を分岐する(S601)。
以下、更新種別が追加、及び属性変更の場合の処理につ
いて説明する。まず、DB8からグループエントリを探索
し、全てのグループエントリの情報を読み出し、その情
報を、組み合わせ条件が設定されているグループエント
リが、その組み合わせ条件で組み合わせ対象に指定され
ているグループエントリの後になるようにソートした上
で(S602)、各グループエントリに関して、メンバシッ
プ条件判定処理S603と組み合わせ条件判定処理S604を実
行する(S603〜S606)。S603、S604の詳細は後述する。
【0050】次に、当該ユーザエントリの所属グループ
エントリをDB8から探索する(S607)。そして、その結
果得られた先頭グループエントリのDNを読み出し(S60
8)、ワーク配列Aに既に存在するか確認する(S609)。
存在する場合はワーク配列Aから要素を削除し(S61
0)、存在しない場合はワーク配列Bへ当該グループエン
トリのDNを追加する(S611)。以上の処理を、S607で得
られた全てのグループエントリに関して行う(S609〜S6
13)。
エントリをDB8から探索する(S607)。そして、その結
果得られた先頭グループエントリのDNを読み出し(S60
8)、ワーク配列Aに既に存在するか確認する(S609)。
存在する場合はワーク配列Aから要素を削除し(S61
0)、存在しない場合はワーク配列Bへ当該グループエン
トリのDNを追加する(S611)。以上の処理を、S607で得
られた全てのグループエントリに関して行う(S609〜S6
13)。
【0051】前記メンバシップ条件判定処理S603では、
当該ユーザエントリの属性と、現在処理中のグループエ
ントリのメンバシップ条件とを照合し、当該ユーザエン
トリの属性がメンバシップ条件に合致する場合、ワーク
配列Aに当該グループエントリのDNを追加する。
当該ユーザエントリの属性と、現在処理中のグループエ
ントリのメンバシップ条件とを照合し、当該ユーザエン
トリの属性がメンバシップ条件に合致する場合、ワーク
配列Aに当該グループエントリのDNを追加する。
【0052】また、前記組み合わせ条件判定処理S604で
は、ワーク配列Aに含まれるグループエントリのDNと、
当該グループエントリの組み合わせ条件とを照合し、ワ
ーク配列Aに含まれるグループエントリのDNが組み合わ
せ条件に合致する場合、ワーク配列Aに当該グループエ
ントリのDNを追加する。
は、ワーク配列Aに含まれるグループエントリのDNと、
当該グループエントリの組み合わせ条件とを照合し、ワ
ーク配列Aに含まれるグループエントリのDNが組み合わ
せ条件に合致する場合、ワーク配列Aに当該グループエ
ントリのDNを追加する。
【0053】一方、S601で更新種別が削除であった場
合、削除処理S614を実行する。当該処理では、まずDB8
から当該ユーザエントリが所属するグループエントリを
探索し、その結果得られたグループエントリのDNをワー
ク配列Bへ追加する。
合、削除処理S614を実行する。当該処理では、まずDB8
から当該ユーザエントリが所属するグループエントリを
探索し、その結果得られたグループエントリのDNをワー
ク配列Bへ追加する。
【0054】以上の説明では、差分計算プログラム11が
差分計算処理を実行するたびに、グループエントリを探
索するものとしているが、ディレクトリサーバ2の起動
時にグループエントリを探索し、その結果得られた全て
のグループエントリの情報を主メモリ21へ格納し、差分
計算処理では主メモリ21に記憶された情報を使用しても
よい。これにより、差分計算処理を高速化可能である。
差分計算処理を実行するたびに、グループエントリを探
索するものとしているが、ディレクトリサーバ2の起動
時にグループエントリを探索し、その結果得られた全て
のグループエントリの情報を主メモリ21へ格納し、差分
計算処理では主メモリ21に記憶された情報を使用しても
よい。これにより、差分計算処理を高速化可能である。
【0055】次に、ディレクトリサーバ2が前記差分計
算処理に引き続き実行する、メンバシップ変更プログラ
ム18のメンバシップ変更処理の動作を説明する。当該処
理では、前記差分計算処理で作成したワーク配列Aの全
ての要素に関して、要素の値が示すグループエントリの
メンバシップ属性へ、更新されたユーザエントリのDNを
追加する。さらに、ワーク配列Bの全ての要素に関し
て、要素の値が示すグループエントリのメンバシップ属
性から、当該ユーザエントリのDNを削除する。
算処理に引き続き実行する、メンバシップ変更プログラ
ム18のメンバシップ変更処理の動作を説明する。当該処
理では、前記差分計算処理で作成したワーク配列Aの全
ての要素に関して、要素の値が示すグループエントリの
メンバシップ属性へ、更新されたユーザエントリのDNを
追加する。さらに、ワーク配列Bの全ての要素に関し
て、要素の値が示すグループエントリのメンバシップ属
性から、当該ユーザエントリのDNを削除する。
【0056】当該処理において、ディレクトリサーバ2
が、DB8のグループエントリのメンバシップ属性を変更
すると共に、アクセスログファイル9にグループエント
リの属性変更に関する更新記録を書き込む。当該処理で
は、同一のグループエントリの属性変更でもDB更新を個
別に実行するため、同一のグループエントリに関する更
新記録も1回以上書き込むことがある。
が、DB8のグループエントリのメンバシップ属性を変更
すると共に、アクセスログファイル9にグループエント
リの属性変更に関する更新記録を書き込む。当該処理で
は、同一のグループエントリの属性変更でもDB更新を個
別に実行するため、同一のグループエントリに関する更
新記録も1回以上書き込むことがある。
【0057】以上で、本発明の第一の実施例を説明し
た。前記従来技術を適用したディレクトリサービスで
は、ディレクトリサーバが、ユーザ等のオブジェクトの
所属グループの問い合わせを受信した時点で、全グルー
プのメンバシップを計算していた。そのため、グループ
数が膨大で、かつメンバシップ条件も複雑である大規模
企業情報システムにおいては、照合処理の所要時間が増
加し、その結果、問い合わせの応答性能が劣化する問題
があった。また、メンバシップ条件の複雑化に伴い、シ
ステム管理者のアクセス制御設定負荷が増大し、かつ設
定ミスが増加する問題もあった。
た。前記従来技術を適用したディレクトリサービスで
は、ディレクトリサーバが、ユーザ等のオブジェクトの
所属グループの問い合わせを受信した時点で、全グルー
プのメンバシップを計算していた。そのため、グループ
数が膨大で、かつメンバシップ条件も複雑である大規模
企業情報システムにおいては、照合処理の所要時間が増
加し、その結果、問い合わせの応答性能が劣化する問題
があった。また、メンバシップ条件の複雑化に伴い、シ
ステム管理者のアクセス制御設定負荷が増大し、かつ設
定ミスが増加する問題もあった。
【0058】本発明のメンバシップ管理方法では、オブ
ジェクトを表わすエントリの更新を契機として、グルー
プエントリのメンバシップ属性を変更する。これによ
り、ディレクトリサーバは、オブジェクトの所属グルー
プの問い合わせを受信した時、データベースが記憶する
メンバシップ属性を検索して回答するため、問い合わせ
に対する応答を高速化することができる。また、メンバ
シップ属性を差分更新する事により、オブジェクトを表
すエントリを更新する時のディレクトリサーバのCPU負
荷の増加を極小化可能である。さらに、メンバシップの
計算は1回で済むため、同一の問い合わせが連続する場
合のディレクトリサーバのCPU負荷を削減可能であり、
結果として問い合わせに対するスループットを向上でき
る。さらに、複数グループを様々な論理演算で組み合わ
せ可能としたことにより、複数属性の組み合わせでアク
セス権が決定されるような複雑なアクセス制御に必要な
設定作業を容易化し、かつ設定ミスを削減できる。
ジェクトを表わすエントリの更新を契機として、グルー
プエントリのメンバシップ属性を変更する。これによ
り、ディレクトリサーバは、オブジェクトの所属グルー
プの問い合わせを受信した時、データベースが記憶する
メンバシップ属性を検索して回答するため、問い合わせ
に対する応答を高速化することができる。また、メンバ
シップ属性を差分更新する事により、オブジェクトを表
すエントリを更新する時のディレクトリサーバのCPU負
荷の増加を極小化可能である。さらに、メンバシップの
計算は1回で済むため、同一の問い合わせが連続する場
合のディレクトリサーバのCPU負荷を削減可能であり、
結果として問い合わせに対するスループットを向上でき
る。さらに、複数グループを様々な論理演算で組み合わ
せ可能としたことにより、複数属性の組み合わせでアク
セス権が決定されるような複雑なアクセス制御に必要な
設定作業を容易化し、かつ設定ミスを削減できる。
【0059】次に、本発明の第二の実施例について、第
一の実施例との相違点を説明する。
一の実施例との相違点を説明する。
【0060】第一の実施例のメンバシップ管理方法で
は、ディレクトリサーバ2がユーザエントリの更新毎に
グループのメンバシップ属性を変更する。ところが、複
数のユーザエントリ更新が連続する場合、メンバシップ
属性が変更されるグループエントリが同じであってもDB
8の更新は個別に実行されるため、ユーザエントリが大
量に更新される時(新人入社、人事異動、退職時等)
に、ディレクトリサーバ2のCPU負荷増大を招き、その結
果、本発明に関わる処理の所要時間が増加し、同時に発
生したディレクトリ情報へのアクセス要求の応答性能が
劣化することがある。
は、ディレクトリサーバ2がユーザエントリの更新毎に
グループのメンバシップ属性を変更する。ところが、複
数のユーザエントリ更新が連続する場合、メンバシップ
属性が変更されるグループエントリが同じであってもDB
8の更新は個別に実行されるため、ユーザエントリが大
量に更新される時(新人入社、人事異動、退職時等)
に、ディレクトリサーバ2のCPU負荷増大を招き、その結
果、本発明に関わる処理の所要時間が増加し、同時に発
生したディレクトリ情報へのアクセス要求の応答性能が
劣化することがある。
【0061】そこで、第二の実施例では、メンバシップ
属性の変更内容をグループエントリ毎に一時的に記憶す
る差分テーブル12をメンバシップ管理プログラム10へ追
加する。この差分テーブル12を、図6を用いて説明す
る。
属性の変更内容をグループエントリ毎に一時的に記憶す
る差分テーブル12をメンバシップ管理プログラム10へ追
加する。この差分テーブル12を、図6を用いて説明す
る。
【0062】差分テーブル12は、配列構造を成し1以上
のレコードを格納可能である。差分テーブル12の各レコ
ードは、グループエントリのDN71、及びメンバシップ属
性に対して追加、削除するユーザエントリのDNを格納す
る、それぞれ追加ユーザDN配列72、削除ユーザDN配列73
から構成される。差分テーブル12のレコードの情報例を
74に示す。本実施例では、差分テーブル12は主メモリ21
に格納されるものとするが、停電等の障害発生時に内容
を復旧可能なように、磁気ディスク23などの不揮発性の
記憶装置に格納してもよい。
のレコードを格納可能である。差分テーブル12の各レコ
ードは、グループエントリのDN71、及びメンバシップ属
性に対して追加、削除するユーザエントリのDNを格納す
る、それぞれ追加ユーザDN配列72、削除ユーザDN配列73
から構成される。差分テーブル12のレコードの情報例を
74に示す。本実施例では、差分テーブル12は主メモリ21
に格納されるものとするが、停電等の障害発生時に内容
を復旧可能なように、磁気ディスク23などの不揮発性の
記憶装置に格納してもよい。
【0063】第二の実施例におけるメンバシップ管理方
法の動作を説明する。
法の動作を説明する。
【0064】第二の実施例に関わる通信シーケンスは以
下の点を除き第一の実施例と同様である。すなわち、図
3のメンバシップ変更処理の代わりに、差分テーブル更
新処理を実行する。また、メンバシップ変更処理はユー
ザエントリの更新要求204を受信するたびに実行するの
ではなく、固定時刻、或いは指定時刻に達した時に、ま
たは一定間隔で実行する。
下の点を除き第一の実施例と同様である。すなわち、図
3のメンバシップ変更処理の代わりに、差分テーブル更
新処理を実行する。また、メンバシップ変更処理はユー
ザエントリの更新要求204を受信するたびに実行するの
ではなく、固定時刻、或いは指定時刻に達した時に、ま
たは一定間隔で実行する。
【0065】図7は、差分計算プログラム11の差分テー
ブル更新処理の動作を表わすフローチャートである。当
該処理は、第一の実施例の差分計算処理の結果を差分テ
ーブル12に格納する処理であり、ディレクトリサーバ2
が前記差分計算処理に引き続き実行する。
ブル更新処理の動作を表わすフローチャートである。当
該処理は、第一の実施例の差分計算処理の結果を差分テ
ーブル12に格納する処理であり、ディレクトリサーバ2
が前記差分計算処理に引き続き実行する。
【0066】最初に、前記差分計算処理の結果作成され
たワーク配列Aの先頭要素を読み出し(S801)、その値
とグループDN71とが一致するレコードを差分テーブル12
から探索する(S802)。
たワーク配列Aの先頭要素を読み出し(S801)、その値
とグループDN71とが一致するレコードを差分テーブル12
から探索する(S802)。
【0067】一致するレコードが存在しない場合(S80
3)、差分テーブル12にレコードを追加し(S804)、S81
1へ移行する。追加するレコードのグループDN71にはワ
ーク配列Aの当該要素の値を、追加ユーザDN配列72には
当該ユーザエントリのDNをそれぞれ格納する。削除ユー
ザDN配列73には何も格納しない(空の配列となる)。
3)、差分テーブル12にレコードを追加し(S804)、S81
1へ移行する。追加するレコードのグループDN71にはワ
ーク配列Aの当該要素の値を、追加ユーザDN配列72には
当該ユーザエントリのDNをそれぞれ格納する。削除ユー
ザDN配列73には何も格納しない(空の配列となる)。
【0068】一致するレコードが存在する場合(S80
3)、そのレコードの追加ユーザDN配列72から、当該ユ
ーザエントリのDNと一致する要素を探索する(S805)。
一致する要素が存在しない場合のみ(S806)、追加ユー
ザDN配列72に要素を追加する(S807)。その要素値は、
当該ユーザエントリのDNとする。さらに、そのレコード
の削除ユーザDN配列73から、当該ユーザエントリのDNと
値が一致する要素を探索する(S808)。一致する要素が
存在する場合のみ(S809)、その要素を、削除ユーザDN
配列73から削除する(S810)。
3)、そのレコードの追加ユーザDN配列72から、当該ユ
ーザエントリのDNと一致する要素を探索する(S805)。
一致する要素が存在しない場合のみ(S806)、追加ユー
ザDN配列72に要素を追加する(S807)。その要素値は、
当該ユーザエントリのDNとする。さらに、そのレコード
の削除ユーザDN配列73から、当該ユーザエントリのDNと
値が一致する要素を探索する(S808)。一致する要素が
存在する場合のみ(S809)、その要素を、削除ユーザDN
配列73から削除する(S810)。
【0069】上記のS801からS810までの処理を、ワーク
配列Aの全ての要素に関して実行する(S802〜S812)。
配列Aの全ての要素に関して実行する(S802〜S812)。
【0070】さらに、S801からS812までの処理と同様の
処理をワーク配列Bに対しても実行する(S813)。但
し、S801で読み出す配列はワーク配列Bとする。S804で
追加するレコードのグループDN71にはワーク配列Bの要
素値を、削除ユーザDN配列73には当該ユーザエントリの
DNをそれぞれ格納する。追加ユーザDN配列72には何も格
納しない。S805からS807で探索、及び要素追加の対象と
なる配列は削除ユーザDN配列73とする。さらに、S808か
らS810で探索、及び要素削除の対象となるリストは追加
ユーザDN配列72とする。
処理をワーク配列Bに対しても実行する(S813)。但
し、S801で読み出す配列はワーク配列Bとする。S804で
追加するレコードのグループDN71にはワーク配列Bの要
素値を、削除ユーザDN配列73には当該ユーザエントリの
DNをそれぞれ格納する。追加ユーザDN配列72には何も格
納しない。S805からS807で探索、及び要素追加の対象と
なる配列は削除ユーザDN配列73とする。さらに、S808か
らS810で探索、及び要素削除の対象となるリストは追加
ユーザDN配列72とする。
【0071】次に、第二の実施例におけるメンバシップ
変更プログラム13のメンバシップ変更処理について説明
する。本実施例では、ディレクトリサーバ2が当該処理
を固定の時刻(毎日零時零分)に実行するものとしてい
る。しかし、当該処理を実行する時刻、或いは曜日と時
刻、或いは実行間隔の入力を受け付ける手段をディレク
トリサーバ2に設け、入力された時刻、或いは曜日と時
刻、或いは時間間隔でディレクトリサーバ2が当該処理
を実行してもよい。一定の時間間隔で実行する場合、間
隔を短くすることにより、ユーザエントリ更新からメン
バシップ変更までの時間を短縮可能である。
変更プログラム13のメンバシップ変更処理について説明
する。本実施例では、ディレクトリサーバ2が当該処理
を固定の時刻(毎日零時零分)に実行するものとしてい
る。しかし、当該処理を実行する時刻、或いは曜日と時
刻、或いは実行間隔の入力を受け付ける手段をディレク
トリサーバ2に設け、入力された時刻、或いは曜日と時
刻、或いは時間間隔でディレクトリサーバ2が当該処理
を実行してもよい。一定の時間間隔で実行する場合、間
隔を短くすることにより、ユーザエントリ更新からメン
バシップ変更までの時間を短縮可能である。
【0072】当該処理では、差分テーブル12の全てのレ
コードに関して、グループDN71で示されるグループエン
トリのメンバシップ属性を変更した後、差分テーブルを
初期化(差分テーブルの全レコードを削除)する。ここ
で、メンバシップ属性の変更内容は、当該レコードの追
加ユーザDN配列72の全要素を属性値として追加し、削除
ユーザDN配列73の全要素を属性値から削除する。
コードに関して、グループDN71で示されるグループエン
トリのメンバシップ属性を変更した後、差分テーブルを
初期化(差分テーブルの全レコードを削除)する。ここ
で、メンバシップ属性の変更内容は、当該レコードの追
加ユーザDN配列72の全要素を属性値として追加し、削除
ユーザDN配列73の全要素を属性値から削除する。
【0073】当該処理において、ディレクトリサーバ2
はDB8のグループエントリのメンバシップ属性を変更す
ると同時に、アクセスログファイル9にグループエント
リの属性変更に関する更新記録を書き込む。ここで、1
グループエントリの属性変更は1回のDB更新にまとめる
ため、更新記録も1グループエントリ毎に1回書き込む。
はDB8のグループエントリのメンバシップ属性を変更す
ると同時に、アクセスログファイル9にグループエント
リの属性変更に関する更新記録を書き込む。ここで、1
グループエントリの属性変更は1回のDB更新にまとめる
ため、更新記録も1グループエントリ毎に1回書き込む。
【0074】第二の実施例によると、メンバシップの変
更内容を差分テーブル12へ一時的に保存し、指定時刻
に、或いは一定間隔で前記差分テーブル12の内容をDB8
へ反映する。この時、同一グループに対するメンバシッ
プ変更は、1回のDB更新にまとめられるため、大量のユ
ーザエントリが連続して更新された時も、ディレクトリ
サーバ2のCPU負荷を低減可能である。
更内容を差分テーブル12へ一時的に保存し、指定時刻
に、或いは一定間隔で前記差分テーブル12の内容をDB8
へ反映する。この時、同一グループに対するメンバシッ
プ変更は、1回のDB更新にまとめられるため、大量のユ
ーザエントリが連続して更新された時も、ディレクトリ
サーバ2のCPU負荷を低減可能である。
【0075】第一、及び第二の実施例は、本発明をディ
レクトリサーバに適用したものである。これらの実施例
では、リソース管理サーバ3等のディレクトリクライア
ントからのアクセス要求を処理する通信制御プログラム
5、プロトコル解析プログラム6s、DB制御プログラム7
と、本発明に関わる処理を行うメンバシップ管理プログ
ラム10が情報処理装置のリソース(主メモリ21、スレッ
ド等)を共有するため、リソースが不足することがあり
得る。
レクトリサーバに適用したものである。これらの実施例
では、リソース管理サーバ3等のディレクトリクライア
ントからのアクセス要求を処理する通信制御プログラム
5、プロトコル解析プログラム6s、DB制御プログラム7
と、本発明に関わる処理を行うメンバシップ管理プログ
ラム10が情報処理装置のリソース(主メモリ21、スレッ
ド等)を共有するため、リソースが不足することがあり
得る。
【0076】そこで、この点を考慮し、本発明をディレ
クトリサーバ以外の情報処理装置(以下、メンバシップ
管理サーバという)へ適用した第三の実施例を説明す
る。この実施例では、上述の実施例のようなリソース共
有が発生しないので、メンバシップ管理プログラム10の
リソース消費に影響されることなく、ディレクトリサー
バ2が、ディレクトリクライアントからのアクセス要求
を処理するのに充分なリソースが確保できる。
クトリサーバ以外の情報処理装置(以下、メンバシップ
管理サーバという)へ適用した第三の実施例を説明す
る。この実施例では、上述の実施例のようなリソース共
有が発生しないので、メンバシップ管理プログラム10の
リソース消費に影響されることなく、ディレクトリサー
バ2が、ディレクトリクライアントからのアクセス要求
を処理するのに充分なリソースが確保できる。
【0077】図8は、第三の実施例におけるディレクト
リシステム1bの構成図であり、ディレクトリサーバ2bと
リソース管理サーバ3、ディレクトリ情報管理クライア
ント4、メンバシップ管理サーバ17がLAN等のネットワー
ク20で接続されている。
リシステム1bの構成図であり、ディレクトリサーバ2bと
リソース管理サーバ3、ディレクトリ情報管理クライア
ント4、メンバシップ管理サーバ17がLAN等のネットワー
ク20で接続されている。
【0078】メンバシップ管理サーバ17のシステム構成
は、磁気ディスク23にDB8、アクセスログファイル9が含
まれない点、メンバシップ管理プログラム10bに更新通
知受信プログラム16が含まれる点、主メモリ21のプロト
コル解析プログラム6sがプロトコル解析プログラム6cに
置き換わる点、及び主メモリ21にDB制御プログラム7が
含まれない点を除き、図1のディレクトリサーバ2のシス
テム構成と同様である。
は、磁気ディスク23にDB8、アクセスログファイル9が含
まれない点、メンバシップ管理プログラム10bに更新通
知受信プログラム16が含まれる点、主メモリ21のプロト
コル解析プログラム6sがプロトコル解析プログラム6cに
置き換わる点、及び主メモリ21にDB制御プログラム7が
含まれない点を除き、図1のディレクトリサーバ2のシス
テム構成と同様である。
【0079】メンバシップ管理サーバ17の主メモリ21
は、通信制御プログラム5、プロトコル解析プログラム6
c、メンバシップ管理プログラム10bから構成される。さ
らに、メンバシップ管理プログラム10bは、ディレクト
リサーバ2bからユーザエントリの更新通知を受信する更
新通知受信プログラム16、差分計算プログラム11、メン
バシップ変更プログラム13より構成される。ディレクト
リサーバ2bのシステム構成は従来のディレクトリサーバ
と同様である。また、ディレクトリ情報管理クライアン
ト4のシステム構成は第一の実施例と同様である。
は、通信制御プログラム5、プロトコル解析プログラム6
c、メンバシップ管理プログラム10bから構成される。さ
らに、メンバシップ管理プログラム10bは、ディレクト
リサーバ2bからユーザエントリの更新通知を受信する更
新通知受信プログラム16、差分計算プログラム11、メン
バシップ変更プログラム13より構成される。ディレクト
リサーバ2bのシステム構成は従来のディレクトリサーバ
と同様である。また、ディレクトリ情報管理クライアン
ト4のシステム構成は第一の実施例と同様である。
【0080】第三の実施例におけるメンバシップ管理方
法の動作を説明する。
法の動作を説明する。
【0081】最初に、図9を用いて第三の実施例に関わ
る通信シーケンスを説明する。但し、200から205までは
図3と同様である。
る通信シーケンスを説明する。但し、200から205までは
図3と同様である。
【0082】ディレクトリサーバ2がユーザエントリの
更新応答205をディレクトリ情報管理クライアント4へ返
した後、メンバシップ管理サーバ17へ更新通知208を発
行する。メンバシップ管理サーバ17は、更新通知受信プ
ログラム16の更新通知受信処理を実行し、受信した更新
通知208からユーザエントリの更新内容を読み込む。
更新応答205をディレクトリ情報管理クライアント4へ返
した後、メンバシップ管理サーバ17へ更新通知208を発
行する。メンバシップ管理サーバ17は、更新通知受信プ
ログラム16の更新通知受信処理を実行し、受信した更新
通知208からユーザエントリの更新内容を読み込む。
【0083】次に、メンバシップ管理サーバ17の差分計
算プログラム11が図5と同様の差分計算処理を実行す
る。ただし、S602またはS607の処理において、差分計算
プログラム11がDB8に対して行なっていたグループエン
トリに関する探索要求209を、ディレクトリサーバ2に対
して発行し、探索応答210を受信する。
算プログラム11が図5と同様の差分計算処理を実行す
る。ただし、S602またはS607の処理において、差分計算
プログラム11がDB8に対して行なっていたグループエン
トリに関する探索要求209を、ディレクトリサーバ2に対
して発行し、探索応答210を受信する。
【0084】次に、メンバシップ管理サーバ17のメンバ
シップ変更プログラム13が第1の実施例と同様のメンバ
シップ変更処理を実行する。ただし、メンバシップ変更
処理において、メンバシップ変更プログラム13は、第一
の実施例では、DB8に対して行なっていたグループエン
トリのメンバシップ属性変更を、ディレクトリサーバ2b
に対して発行するグループエントリ属性変更要求211
と、ディレクトリサーバ2bから受信する属性変更応答21
2により行う。
シップ変更プログラム13が第1の実施例と同様のメンバ
シップ変更処理を実行する。ただし、メンバシップ変更
処理において、メンバシップ変更プログラム13は、第一
の実施例では、DB8に対して行なっていたグループエン
トリのメンバシップ属性変更を、ディレクトリサーバ2b
に対して発行するグループエントリ属性変更要求211
と、ディレクトリサーバ2bから受信する属性変更応答21
2により行う。
【0085】そして、リソース管理サーバ3が、ユーザ
の所属グループの問い合わせ要求206をディレクトリサ
ーバ2へ発行した時には、ディレクトリサーバ2が、既に
変更されているメンバシップ属性を基に、指定されたユ
ーザの所属グループを特定し、その結果を問い合わせ応
答207としてリソース管理サーバ3へ返す。
の所属グループの問い合わせ要求206をディレクトリサ
ーバ2へ発行した時には、ディレクトリサーバ2が、既に
変更されているメンバシップ属性を基に、指定されたユ
ーザの所属グループを特定し、その結果を問い合わせ応
答207としてリソース管理サーバ3へ返す。
【0086】次に、第三の実施例における、更新通知受
信プログラム16の更新通知受信処理を説明する。当該処
理では、ディレクトリサーバ2bからユーザエントリの更
新通知を受信したかを定期的に(例えば、1分間隔)確
認し、受信した場合、更新されたユーザエントリに関し
て、上述の差分計算プログラム11の差分計算処理、及び
メンバシップ変更プログラム13のメンバシップ変更処理
を実行する、という処理を繰り返す。この処理は、メン
バシップ管理サーバ17の起動時から停止時まで継続して
実行される。本実施例の他の処理は、ディレクトリ情報
へのアクセスがDB8に対して直接行われるのではなく、L
DAP等のディレクトリアクセスプロトコルを用いてネッ
トワーク20を介して行われる点を除き、第一の実施例と
同様である。
信プログラム16の更新通知受信処理を説明する。当該処
理では、ディレクトリサーバ2bからユーザエントリの更
新通知を受信したかを定期的に(例えば、1分間隔)確
認し、受信した場合、更新されたユーザエントリに関し
て、上述の差分計算プログラム11の差分計算処理、及び
メンバシップ変更プログラム13のメンバシップ変更処理
を実行する、という処理を繰り返す。この処理は、メン
バシップ管理サーバ17の起動時から停止時まで継続して
実行される。本実施例の他の処理は、ディレクトリ情報
へのアクセスがDB8に対して直接行われるのではなく、L
DAP等のディレクトリアクセスプロトコルを用いてネッ
トワーク20を介して行われる点を除き、第一の実施例と
同様である。
【0087】第三の実施例によると、本発明のメンバシ
ップ変更方法に関わる処理をディレクトリサーバ以外の
情報処理装置で実行するため、本発明に関わる処理に起
因するディレクトリサーバの応答性能劣化を防止可能で
ある。
ップ変更方法に関わる処理をディレクトリサーバ以外の
情報処理装置で実行するため、本発明に関わる処理に起
因するディレクトリサーバの応答性能劣化を防止可能で
ある。
【0088】また、第三の実施例のメンバシップ管理プ
ログラム10へ差分テーブル12を追加してもよい。この場
合は、ディレクトリ情報へのアクセスがネットワーク20
を介して行われる点を除き、第二の実施例と同様であ
る。
ログラム10へ差分テーブル12を追加してもよい。この場
合は、ディレクトリ情報へのアクセスがネットワーク20
を介して行われる点を除き、第二の実施例と同様であ
る。
【0089】さらに、上記各実施例において、ディレク
トリサーバがメンバシップ属性に関するインデックスを
作成することで、ユーザエントリのDNをメンバシップ属
性の値として持つグループエントリの探索が大幅に高速
化可能である。また、上記各実施例では、メンバシップ
条件と組み合わせ条件によりメンバシップが確定すると
したが、グループエントリの属性に、例外的にメンバシ
ップに追加するユーザ(以下、例外追加ユーザとい
う)、及び例外的にメンバシップから除外するユーザ
(以下、例外除外ユーザという)を格納してもよい。こ
の場合、グループエントリに、例外追加ユーザのエント
リのDNを格納する属性と、例外除外ユーザのエントリの
DNを格納する属性とを追加し、図4の画面40に、例外追
加ユーザと例外除外ユーザとを指定する領域を追加し、
図5の差分計算処理のS604とS605との間に、処理対象の
ユーザが例外追加ユーザでありかつワーク配列Aに処理
対象のグループエントリのDNが存在していなければワー
ク配列Aに処理対象のグループエントリのDNを追加し、
処理対象のユーザが例外除外ユーザでありかつワーク配
列Aに処理対象のグループエントリのDNが存在していれ
ばワーク配列Aから当該グループエントリのDNを削除す
る処理を加えればよい。
トリサーバがメンバシップ属性に関するインデックスを
作成することで、ユーザエントリのDNをメンバシップ属
性の値として持つグループエントリの探索が大幅に高速
化可能である。また、上記各実施例では、メンバシップ
条件と組み合わせ条件によりメンバシップが確定すると
したが、グループエントリの属性に、例外的にメンバシ
ップに追加するユーザ(以下、例外追加ユーザとい
う)、及び例外的にメンバシップから除外するユーザ
(以下、例外除外ユーザという)を格納してもよい。こ
の場合、グループエントリに、例外追加ユーザのエント
リのDNを格納する属性と、例外除外ユーザのエントリの
DNを格納する属性とを追加し、図4の画面40に、例外追
加ユーザと例外除外ユーザとを指定する領域を追加し、
図5の差分計算処理のS604とS605との間に、処理対象の
ユーザが例外追加ユーザでありかつワーク配列Aに処理
対象のグループエントリのDNが存在していなければワー
ク配列Aに処理対象のグループエントリのDNを追加し、
処理対象のユーザが例外除外ユーザでありかつワーク配
列Aに処理対象のグループエントリのDNが存在していれ
ばワーク配列Aから当該グループエントリのDNを削除す
る処理を加えればよい。
【0090】また、上記各実施例では、メンバシップ条
件と共に組み合わせ条件もDB8に登録することとした
が、ユーザが図4の57から62を用いて入力した組み合わ
せ条件を、条件設定プログラム14がメンバシップ条件へ
変換し、DB8にはメンバシップ条件のみ登録し、かつ差
分計算プログラム11が組み合わせ条件判定処理(図5のS
604)を実行しないようにしてもよい。これにより、組
み合わせ条件をサポートしない場合でも、上記第二の目
的を達成できる。
件と共に組み合わせ条件もDB8に登録することとした
が、ユーザが図4の57から62を用いて入力した組み合わ
せ条件を、条件設定プログラム14がメンバシップ条件へ
変換し、DB8にはメンバシップ条件のみ登録し、かつ差
分計算プログラム11が組み合わせ条件判定処理(図5のS
604)を実行しないようにしてもよい。これにより、組
み合わせ条件をサポートしない場合でも、上記第二の目
的を達成できる。
【0091】
【発明の効果】本発明によれば、ディレクトリサーバが
ユーザの所属グループの問い合わせに高速に応答するこ
とが可能となり、ディレクトリサーバのスループットを
向上させることができる。これにより、ディレクトリサ
ービスを大規模企業情報システムにおけるアクセス制御
に適用可能となる。さらに、システム管理者のアクセス
制御情報の設定負荷、及び設定ミスを削減可能となる。
ユーザの所属グループの問い合わせに高速に応答するこ
とが可能となり、ディレクトリサーバのスループットを
向上させることができる。これにより、ディレクトリサ
ービスを大規模企業情報システムにおけるアクセス制御
に適用可能となる。さらに、システム管理者のアクセス
制御情報の設定負荷、及び設定ミスを削減可能となる。
【図1】本発明の第一の実施例におけるディレクトリシ
ステムの構成である。
ステムの構成である。
【図2】本発明で用いるディレクトリ情報の一例であ
る。
る。
【図3】本発明の第一の実施例に関わる通信シーケンス
である。
である。
【図4】本発明を用いてグループのメンバシップ条件と
組み合わせ条件を設定する時の画面表示例である。
組み合わせ条件を設定する時の画面表示例である。
【図5】本発明の差分計算処理に関わる動作を説明する
図である。
図である。
【図6】本発明の差分テーブルのデータ構造を表わす図
である。
である。
【図7】本発明の差分テーブル更新処理に関わる動作を
説明する図である。
説明する図である。
【図8】本発明の第三の実施例におけるディレクトリシ
ステムの構成である。
ステムの構成である。
【図9】本発明の第三の実施例に関わる通信シーケンス
である。
である。
【符号の説明】 1・・・ディレクトリシステム 2・・・ディレクトリサーバ 3・・・リソース管理サーバ 4・・・ディレクトリ情報管理クライアント 5・・・通信制御プログラム 6・・・プロトコル解析プログラム 7・・・DB制御プログラム 8・・・DB 9・・・アクセスログファイル 10・・・メンバシップ管理プログラム 11・・・差分計算プログラム 12・・・差分テーブル 13・・・メンバシップ変更プログラム 14・・・条件設定プログラム 15・・・ユーザI/F制御プログラム 16・・・更新通知受信プログラム 17・・・メンバシップ管理サーバ 18・・・エントリ更新プログラム 20・・・ネットワーク 21・・・主メモリ 22・・・バス 23・・・磁気ディスク 24・・・CPU 25・・・ディスプレイ 26・・・マウス 27・・・キーボード
───────────────────────────────────────────────────── フロントページの続き (72)発明者 川上 順彦 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 小▲瀧▼ 伯泰 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 Fターム(参考) 5B082 FA00 HA08
Claims (29)
- 【請求項1】オブジェクトに関するオブジェクト情報
と、1以上の前記オブジェクトからなるグループと当該
グループに所属するオブジェクトとの対応関係を表わす
メンバシップに関するメンバシップ情報と、から成るデ
ィレクトリ情報を保存するデータベースと、 更新要求に応じて前記オブジェクト情報を更新する手段
を備えるディレクトリサーバと、 前記ディレクトリ情報へアクセスする手段を備えるディ
レクトリクライアントと、からなり、 前記ディレクトリサーバは、 前記ディレクトリクライアントからの更新要求に従っ
て、前記オブジェクト情報を更新する手段と、 前記更新を契機として、前記オブジェクト情報の更新内
容を基に前記メンバシップ情報を変更するメンバシップ
変更手段と、 前記オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答する手段
と、 を備えるディレクトリシステム。 - 【請求項2】請求項1において、 前記メンバシップ変更手段は、前記メンバシップ情報の
変更前と変更後の差分を計算する差分計算手段を備え、 前記差分計算手段が決定した変更内容に基づき前記メン
バシップ情報を変更するものであるディレクトリシステ
ム。 - 【請求項3】請求項2において、 前記ディレクトリクライアントは、 前記の各グループに関して、前記オブジェクトが当該グ
ループに所属するための条件であるメンバシップ条件の
入力を受け付ける条件入力手段と、 入力された前記メンバシップ条件を前記データベースへ
保存するよう前記ディレクトリサーバへ更新要求を発行
する条件設定手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項4】請求項2において、 前記ディレクトリクライアントが、 1以上の前記グループを組み合わせる条件を指定した組
み合わせ条件の入力を受け付ける条件入力手段と、 入力された前記組み合わせ条件を前記データベースへ保
存するよう前記ディレクトリサーバへ更新要求を発行す
る条件設定手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項5】請求項3において、 前記差分計算手段が、 前記データベースから前記メンバシップ条件を読み出す
手段と、 更新された前記オブジェクト情報と前記メンバシップ条
件とを照合する手段と、 照合結果に基づき前記メンバシップ情報の変更内容を決
定する手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項6】請求項4において、 前記差分計算手段が、 前記データベースから前記組み合わせ条件を読み出す手
段と、 更新された前記オブジェクトが所属する前記グループを
求める手段と、 前記オブジェクトの所属グループと前記組み合わせ条件
とを照合する手段と、 照合結果に基づき1以上の前記グループを組み合わせた
グループの前記メンバシップ情報の変更内容を決定する
手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項7】請求項2において、 前記ディレクトリサーバが、 前記差分計算手段が決定した前記メンバシップ情報の変
更内容を、前記グループ毎に構成し、保存するテーブル
と、 前記テーブルに保存された前記メンバシップ情報の変更
内容を読み出し、前記データベースの前記メンバシップ
情報を変更するメンバシップ変更手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項8】請求項7において、 前記ディレクトリサーバが、 前記メンバシップ情報を変更するスケジュールの入力を
受け付ける変更スケジュール入力手段を備え、 前記メンバシップ変更手段が、 前記変更スケジュール入力手段が受け付けた前記スケジ
ュールに従って、前記テーブルに保存された前記メンバ
シップ情報の変更内容を読み出し、前記データベースの
前記メンバシップ情報を変更することを特徴とするディ
レクトリシステム。 - 【請求項9】請求項8において、 前記変更スケジュール入力手段が、受け付けるスケジュ
ールは、時刻、あるいは曜日と時刻、あるいは時間間隔
のいずれかであることを特徴とするディレクトリシステ
ム。 - 【請求項10】オブジェクトに関するオブジェクト情報
と、1以上の前記オブジェクトからなるグループと当該
グループに属するオブジェクトとの対応関係を表わすメ
ンバシップに関するメンバシップ情報と、から成るディ
レクトリ情報を保存するデータベースと、 更新要求に応じて前記オブジェクト情報を更新する手段
と、 前記オブジェクト情報の更新内容をディレクトリクライ
アントへ通知する手段とを備えるディレクトリサーバ
と、 前記ディレクトリ情報へアクセスする手段を備える第一
のディレクトリクライアントとからなり、 前記ディレクトリサーバが、 前記オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答する手段を
備え、 前記第一のディレクトリクライアントが、 前記ディレクトリサーバから前記オブジェクト情報の更
新通知を受信する更新通知受信手段と、 前記更新通知受信手段が前記オブジェクト情報の更新通
知を受信したことを契機に、前記オブジェクト情報の更
新内容を基に前記メンバシップ情報を変更するメンバシ
ップ変更手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項11】請求項10において、 前記メンバシップ変更手段が、 前記メンバシップ情報の変更前と変更後の差分を計算す
る差分計算手段を備え、 前記差分計算手段が決定した内容に基づき前記メンバシ
ップに関する情報を変更するものであるディレクトリシ
ステム。 - 【請求項12】請求項11において、さらに第二のディレ
クトリクライアントを備え、 前記第二のディレクトリクライアントが、 前記の各グループに関して、前記オブジェクトが当該グ
ループに所属するための条件であるメンバシップ条件の
入力を受け付ける条件入力手段と、 入力された前記メンバシップ条件を前記データベースへ
保存するよう前記ディレクトリサーバへ更新要求を発行
する条件設定手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項13】請求項3または12において、 前記条件入力手段が、 前記オブジェクト情報に対する完全一致条件、前方一致
条件、後方一致条件、部分一致条件、大小判定条件のい
ずれか、またはいずれか二つ以上を論理演算により組み
合わせた条件から構成される前記メンバシップ条件の入
力を受け付けることを特徴とするディレクトリシステ
ム。 - 【請求項14】請求項3または12において、 前記条件入力手段が、 前記オブジェクトを表わすディレクトリエントリに対す
る、ディレクトリツリー上の存在範囲条件から構成され
る前記メンバシップ条件の入力を受け付けることを特徴
とするディレクトリシステム。 - 【請求項15】請求項11において、さらに第二のディレ
クトリクライアントを備え、 前記第二のディレクトリクライアントが、 1以上の前記グループを組み合わせる条件を指定した組
み合わせ条件の入力を受け付ける条件入力手段と、 入力された前記組み合わせ条件を前記データベースへ保
存するよう前記ディレクトリサーバへ更新要求を発行す
る条件設定手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項16】請求項4または15において、 前記条件入力手段が、 組み合わせの対象となる前記グループと、組み合わせ方
法を指定する論理演算から構成される前記組み合わせ条
件の入力を受け付けることを特徴とするディレクトリシ
ステム。 - 【請求項17】請求項12において、 前記差分計算手段が、 前記データベースから前記メンバシップ条件を読み出す
手段と、 更新された前記オブジェクト情報と前記メンバシップ条
件とを照合する手段と、 照合結果に基づき前記メンバシップ情報の変更内容を決
定する手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項18】請求項15において、 前記差分計算手段が、 前記データベースから前記組み合わせ条件を読み出す手
段と、 更新された前記オブジェクトが所属する前記グループを
求める手段と、 前記オブジェクトの所属グループと前記組み合わせ条件
とを照合する手段と、 照合結果に基づき1以上の前記グループを組み合わせた
グループの前記メンバシップ情報の変更内容を決定する
手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項19】請求項11において、 前記第一のディレクトリクライアントが、 前記差分計算手段が決定した前記メンバシップ情報の変
更内容を、前記グループ毎に構成し、保存するテーブル
と、 前記テーブルに保存された前記メンバシップ情報の変更
内容を読み出し、前記データベースの前記メンバシップ
情報を変更するメンバシップ変更手段と、 を備えることを特徴とするディレクトリシステム。 - 【請求項20】請求項19において、 前記第一のディレクトリクライアントが、 前記メンバシップ情報を変更するスケジュールの入力を
受け付ける変更スケジュール入力手段を備え、 前記メンバシップ変更手段が、 前記変更スケジュール入力手段が受け付けた前記スケジ
ュールに従って、前記テーブルに保存された前期メンバ
シップ情報の変更内容を読み出し、前記データベースの
前記メンバシップ情報を変更することを特徴とするディ
レクトリシステム。 - 【請求項21】請求項20において、 前記変更スケジュール入力手段が、受け付けるスケジュ
ールは,時刻、あるいは曜日と時刻、あるいは時間間隔
のいずれかであることを特徴とするディレクトリシステ
ム。 - 【請求項22】オブジェクトに関するオブジェクト情報
と、1以上の前記オブジェクトからなるグループと当該
グループに属する前記オブジェクトとの対応関係を表わ
すメンバシップ情報と、から成るディレクトリ情報を保
存するデータベースを備えるディレクトリサーバと通信
する手段を備えるディレクトリクライアントであって、 1以上の前記グループを組み合わせる条件を指定した組
み合わせ条件の入力を受け付ける条件入力手段と、 前記組み合わせ条件を、前記オブジェクトがグループに
所属するための条件であるメンバシップ条件に変換する
条件変換手段と、 前記メンバシップ条件を前記データベースへ保存するよ
う前記ディレクトリサーバへ更新要求を発行する条件設
定手段と、 を備えることを特徴とするディレクトリクライアント。 - 【請求項23】請求項22において、 前記条件入力手段が、 組み合わせの対象となる前記グループと、組み合わせ方
法を指定する論理演算から構成される前記組み合わせ条
件の入力を受け付けることを特徴とするディレクトリク
ライアント。 - 【請求項24】オブジェクトに関するオブジェクト情報
からなるディレクトリ情報を保存するデータベースを備
えるディレクトリサーバと、ディレクトリクライアント
とからなるディレクトリシステムにおいて、 前記ディレクトリサーバは、前記ディレクトリ情報に、
1以上の前記オブジェクトからなるグループと当該グル
ープに所属するオブジェクトとの対応関係を表わすメン
バシップに関するメンバシップ情報を保存し、 前記ディレクトリ情報へアクセスする手段を備えるディ
レクトリクライアントからの更新要求に従って、前記オ
ブジェクト情報を更新し、 前記更新を契機として、前記オブジェクト情報の更新内
容を基に前記メンバシップ情報を変更し、 前記オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答するメンバ
シップ管理方法。 - 【請求項25】請求項24において、 前記ディレクトリサーバは、 前記メンバシップ情報の変更前と変更後の差分を計算
し、 前記計算された差分に基づき前記メンバシップ情報を変
更するものであるメンバシップ管理方法。 - 【請求項26】請求項25において、 前記ディレクトリクライアントは、 前記の各グループに関して、前記オブジェクトが当該グ
ループに所属するための条件であるメンバシップ条件の
入力を受け付け、 入力された前記メンバシップ条件を前記データベースへ
保存するよう前記ディレクトリサーバへ更新要求を発行
するメンバシップ管理方法。 - 【請求項27】オブジェクトに関するオブジェクト情報
からなるディレクトリ情報を保存するデータベースを備
えるディレクトリサーバと、ディレクトリクライアント
とからなるディレクトリシステムを実現させるプログラ
ムを格納した媒体であって、 前記プログラムは、 前記ディレクトリサーバに、1以上の前記オブジェクト
からなるグループと当該グループに所属するオブジェク
トとの対応関係を表わすメンバシップに関するメンバシ
ップ情報と、から成るディレクトリ情報を保存させ、 前記ディレクトリ情報へアクセスする手段を備えるディ
レクトリクライアントからの更新要求に従って、前記オ
ブジェクト情報を更新させ、 前記更新を契機として、前記オブジェクト情報の更新内
容を基に前記メンバシップ情報を変更させ、 前記オブジェクトのメンバシップに関する問い合わせに
対して前記メンバシップ情報を検索して応答させる、 プログラムを格納した媒体。 - 【請求項28】請求項27において、 前記プログラムは、 前記メンバシップ情報の変更前と変更後の差分を計算さ
せ、 前記計算された差分に基づき前記メンバシップ情報を変
更させるものであるプログラムを格納した媒体。 - 【請求項29】請求項28において、 前記プログラムは、 前記ディレクトリクライアントに、 前記の各グループに関して、前記オブジェクトが当該グ
ループに所属するための条件であるメンバシップ条件の
入力を受け付けさせ、 入力された前記メンバシップ条件を前記データベースへ
保存するよう前記ディレクトリサーバへ更新要求を発行
させるプログラムを格納した媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000316828A JP2002116944A (ja) | 2000-10-11 | 2000-10-11 | メンバシップ管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000316828A JP2002116944A (ja) | 2000-10-11 | 2000-10-11 | メンバシップ管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002116944A true JP2002116944A (ja) | 2002-04-19 |
Family
ID=18795721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000316828A Pending JP2002116944A (ja) | 2000-10-11 | 2000-10-11 | メンバシップ管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002116944A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005266946A (ja) * | 2004-03-16 | 2005-09-29 | Ricoh Co Ltd | 情報処理装置、情報処理方法、情報処理プログラム、及び記録媒体 |
| JP2006092075A (ja) * | 2004-09-22 | 2006-04-06 | Fuji Xerox Co Ltd | オブジェクト管理用コンピュータプログラムならびにオブジェクト管理装置および方法 |
| JP2007114834A (ja) * | 2005-10-18 | 2007-05-10 | Hitachi Ltd | ログを管理するストレージ装置及び計算機システム |
| JP2008117052A (ja) * | 2006-11-01 | 2008-05-22 | Hitachi Software Eng Co Ltd | 管理権限設定システム |
| JP2009237671A (ja) * | 2008-03-26 | 2009-10-15 | Mizuho Information & Research Institute Inc | データ開示システム、アクセス制御設定方法、及びアクセス制御設定プログラム |
| CN115550297A (zh) * | 2022-09-22 | 2022-12-30 | 北京字跳网络技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| JP7484484B2 (ja) | 2020-06-23 | 2024-05-16 | 株式会社リコー | サービス提供システム、及びグループ管理方法 |
-
2000
- 2000-10-11 JP JP2000316828A patent/JP2002116944A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005266946A (ja) * | 2004-03-16 | 2005-09-29 | Ricoh Co Ltd | 情報処理装置、情報処理方法、情報処理プログラム、及び記録媒体 |
| JP2006092075A (ja) * | 2004-09-22 | 2006-04-06 | Fuji Xerox Co Ltd | オブジェクト管理用コンピュータプログラムならびにオブジェクト管理装置および方法 |
| JP2007114834A (ja) * | 2005-10-18 | 2007-05-10 | Hitachi Ltd | ログを管理するストレージ装置及び計算機システム |
| US8214333B2 (en) | 2005-10-18 | 2012-07-03 | Hitachi, Ltd. | Storage system for managing a log of access |
| US8732129B2 (en) | 2005-10-18 | 2014-05-20 | Hitachi, Ltd. | Storage system for managing a log of access |
| JP2008117052A (ja) * | 2006-11-01 | 2008-05-22 | Hitachi Software Eng Co Ltd | 管理権限設定システム |
| JP2009237671A (ja) * | 2008-03-26 | 2009-10-15 | Mizuho Information & Research Institute Inc | データ開示システム、アクセス制御設定方法、及びアクセス制御設定プログラム |
| JP7484484B2 (ja) | 2020-06-23 | 2024-05-16 | 株式会社リコー | サービス提供システム、及びグループ管理方法 |
| CN115550297A (zh) * | 2022-09-22 | 2022-12-30 | 北京字跳网络技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12067007B1 (en) | Analyzing a pipelined search to determine data on which to execute the pipelined search | |
| US7636890B2 (en) | User interface for controlling access to computer objects | |
| US8577847B2 (en) | System and method for delivering results of a search query in an information management system | |
| US8195714B2 (en) | Context instantiated application protocol | |
| US8843486B2 (en) | System and method for scoping searches using index keys | |
| JP3777025B2 (ja) | システム資源表示装置およびその方法 | |
| US7139761B2 (en) | Dynamic association of electronically stored information with iterative workflow changes | |
| US6587856B1 (en) | Method and system for representing and accessing object-oriented data in a relational database system | |
| US7788305B2 (en) | Hierarchy nodes derived based on parent/child foreign key and/or range values on parent node | |
| US7941785B2 (en) | System and method for managing information objects | |
| US20080040192A1 (en) | System and Method for Scheduled Events to Subscribe to Live Information Topics | |
| US20150040185A1 (en) | Visualization of access permission status | |
| JP3792419B2 (ja) | ディレクトリデータ変換方法、ディレクトリデータ変換プログラムが記憶された記憶媒体、およびディレクトリ変換サーバ | |
| US7533157B2 (en) | Method for delegation of administrative operations in user enrollment tasks | |
| US11822433B2 (en) | Qualification parameters for captain selection in a search head cluster | |
| JP2001076005A (ja) | データベースシステム | |
| US20040088286A1 (en) | System and method for enhancing network-based collaboration | |
| US20100205193A1 (en) | Simplifying determination of the groups to which users belong when using dynamic groups | |
| JP2002157158A (ja) | データベースシステムにおけるデータ管理方法 | |
| JP2002116944A (ja) | メンバシップ管理方法 | |
| JP3598522B2 (ja) | 分散型データベース管理装置 | |
| US20040225663A1 (en) | Attribute value selection for entity objects | |
| US9400814B2 (en) | Hierarchy nodes derived based on parent/child foreign key and/or range values on parent node | |
| JP4186452B2 (ja) | 文書管理装置 | |
| JP2007018309A (ja) | データベース装置およびdbアクセス制御装置およびアクセス制御システムおよびアクセス制御方法およびアクセス制御プログラム |