JP2003515806A - 簡略化ldapアクセス制御言語システム - Google Patents
簡略化ldapアクセス制御言語システムInfo
- Publication number
- JP2003515806A JP2003515806A JP2001540459A JP2001540459A JP2003515806A JP 2003515806 A JP2003515806 A JP 2003515806A JP 2001540459 A JP2001540459 A JP 2001540459A JP 2001540459 A JP2001540459 A JP 2001540459A JP 2003515806 A JP2003515806 A JP 2003515806A
- Authority
- JP
- Japan
- Prior art keywords
- user
- read
- write
- access
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 32
- 150000001875 compounds Chemical class 0.000 claims 1
- 230000006870 function Effects 0.000 abstract 1
- 238000013459 approach Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】 ユーザが自分のディレクトリエントリ情報の特定の属性にアクセスし得る者のリストを指定する機能をシステム管理者に与える簡略化LDAPアクセス制御言語システムを提供すること。
【解決手段】 簡略化LDAPアクセス言語システムは、ユーザが自分の属性の特定のセットに対する読み取り又は書き込みアクセスを与えたい人物をディレクトリシステムに伝えるユーザ定義属性を提供する。読み取り及び書き込み属性は、別個のリストであり、実際に、異なるもので、これにより、ユーザに、自分の属性に対するアクセスの優れた管理を行う柔軟性を与える。読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDAPフィルタフォーマットであり、これにより、ユーザは、自分のイントラネットのローカルユーザのみでなく、インターネット全体のユーザを同様に指定できる。アクセス制御リスト(ACL)は、システム管理者により作成され、ユーザが読み取り又は書き込みアクセスを制御可能な特定の属性が記載され、これによりシステム管理者は、ユーザがどの情報を公開できるかを完全に制御することが可能になる。このACLは、エントリと共にディレクトリに格納される。ユーザが、ディレクトリ内のエントリにアクセスする時、サーバは、アクセスされている属性に指定されたACLをチェックする。アクセスされている属性の所有者の読み取り又は書き込み属性は、サーバがACLをチェックする時、このサーバにより使用される。読み取り又は書き込み属性とACLとの組み合わせにより、そのユーザが、アクセスされている属性に対する読み取り又は書き込みアクセスを実行する許可を有しているどうかが判断される。
Description
【0001】
本発明は、コンピュータ環境においてディレクトリ構造から情報にアクセスす
ることに関する。特に、本発明は、コンピュータ環境においてLDAP( Lightweigh
t Directory Access Protocol)ディレクトリ構造内のデータへのアクセスを制御
することに関する。
ることに関する。特に、本発明は、コンピュータ環境においてLDAP( Lightweigh
t Directory Access Protocol)ディレクトリ構造内のデータへのアクセスを制御
することに関する。
【0002】
軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリ(ネットスケープ
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造で組織化されている。ディレクトリは、いくつかの組織エントリを含むこ
とが可能で、各組織エントリは、いくつかの組織単位エントリを含むことができ
る。これらのエントリは、更に再分割することができる。
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造で組織化されている。ディレクトリは、いくつかの組織エントリを含むこ
とが可能で、各組織エントリは、いくつかの組織単位エントリを含むことができ
る。これらのエントリは、更に再分割することができる。
【0003】
LDAPは、ディレクトリツリーの特定の部分で実行可能な検索動作を提供する。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
【0004】
エントリと属性とは、人事情報、サーバ設定、取引関係、及び優先度といった
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
【0005】
このアクセス制御に使用される方法は、アクセス制御リスト(ACL)を介して
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
【0006】
ディレクトリは、例えば、人間等に関する情報の集合を含むイントラネット内
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
【0007】
機能向上により、ユーザには、自分の個人情報の一部にアクセスすることが出
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
【0008】
もう一つの欠点は、ACLシンタックスが一般に複雑なことである。通常のユー
ザが、効率的に及び安全に規則を使用することができるように、この形式と規則
のフィールドとを理解することは不可能である。
ザが、効率的に及び安全に規則を使用することができるように、この形式と規則
のフィールドとを理解することは不可能である。
【0009】
ユーザが、自分のディレクトリエントリ情報の特定の属性にアクセスし得る者
のリストを指定する機能を、システム管理者に与える簡略化LDAPアクセス制御言
語システムを提供することができれば有利であろう。更に、ユーザによるこうし
た仕様の作成を可能にする単純なメカニズムを備える簡略化LDAPアクセス制御言
語システムを提供することができれば、有利であろう。
のリストを指定する機能を、システム管理者に与える簡略化LDAPアクセス制御言
語システムを提供することができれば有利であろう。更に、ユーザによるこうし
た仕様の作成を可能にする単純なメカニズムを備える簡略化LDAPアクセス制御言
語システムを提供することができれば、有利であろう。
【0010】
本発明は、簡略化LDAPアクセス言語システムを提供する。このシステムは、シ
ステム管理者が、ユーザに、ディレクトリエントリの特定の属性にアクセスでき
る者のリストを指定する柔軟性を与えることを可能にする単純なコマンド言語を
提供する。加えて、本発明は、ユーザが、複雑なコマンドシンタックスを学習す
る必要なしに、アクセスリストを簡単に指定することを可能にするシステムを提
供する。
ステム管理者が、ユーザに、ディレクトリエントリの特定の属性にアクセスでき
る者のリストを指定する柔軟性を与えることを可能にする単純なコマンド言語を
提供する。加えて、本発明は、ユーザが、複雑なコマンドシンタックスを学習す
る必要なしに、アクセスリストを簡単に指定することを可能にするシステムを提
供する。
【0011】
本発明の好適な実施形態は、ユーザが、自分の属性の特定のセットに対する読
み取り又は書き込みアクセスを与えたい人物をディレクトリシステムに伝えるユ
ーザ定義属性を提供する。読み取り及び書き込み属性は、別個のリストであり、
実際に、異なるものである。これは、ユーザに、自分の属性に対するアクセスの
優れた管理を行う柔軟性を与える。
み取り又は書き込みアクセスを与えたい人物をディレクトリシステムに伝えるユ
ーザ定義属性を提供する。読み取り及び書き込み属性は、別個のリストであり、
実際に、異なるものである。これは、ユーザに、自分の属性に対するアクセスの
優れた管理を行う柔軟性を与える。
【0012】
読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDA
Pフィルタフォーマットである。このフィルタ特性により、ユーザは、自分のイ
ントラネットのローカルユーザのみでなく、インターネット全体のユーザを同様
に指定できる。
Pフィルタフォーマットである。このフィルタ特性により、ユーザは、自分のイ
ントラネットのローカルユーザのみでなく、インターネット全体のユーザを同様
に指定できる。
【0013】
アクセス制御リスト(ACL)は、システム管理者により作成される。このACLに
は、ユーザが読み取り又は書き込みアクセスを制御可能な特定の属性が記載され
る。これにより、システム管理者は、ユーザがどの情報を公開できるかを完全に
制御することが可能になる。
は、ユーザが読み取り又は書き込みアクセスを制御可能な特定の属性が記載され
る。これにより、システム管理者は、ユーザがどの情報を公開できるかを完全に
制御することが可能になる。
【0014】
このACLは、エントリと共にディレクトリに格納される。ユーザが、ディレク
トリ内のエントリにアクセスする時、サーバは、アクセスされている属性に指定
されたACLをチェックする。アクセスされている属性の所有者の読み取り又は書
き込み属性は、サーバがACLをチェックする時、このサーバにより使用される。
読み取り又は書き込み属性とACLとの組み合わせにより、そのユーザが、アクセ
スされている属性に対する読み取り又は書き込みアクセスを実行する許可を有し
ているどうかが判断される。
トリ内のエントリにアクセスする時、サーバは、アクセスされている属性に指定
されたACLをチェックする。アクセスされている属性の所有者の読み取り又は書
き込み属性は、サーバがACLをチェックする時、このサーバにより使用される。
読み取り又は書き込み属性とACLとの組み合わせにより、そのユーザが、アクセ
スされている属性に対する読み取り又は書き込みアクセスを実行する許可を有し
ているどうかが判断される。
【0015】
本発明のその他の態様及び利点は、本発明の原理を例示する添付図面と併せて
、以下の詳細な説明から明らかになるであろう。
、以下の詳細な説明から明らかになるであろう。
【0016】
本発明は、コンピュータ環境における簡略化LDAPアクセス制御言語システムに
おいて実施される。本発明によるシステムは、システム管理者がユーザに対して
、ディレクトリエントリの特定の属性にアクセスできる者のリストを指定する柔
軟性を与えることを可能にする単純なコマンド言語を提供する。加えて、本発明
は、複雑なコマンドシンタックスを学習する必要なく、ユーザがアクセスリスト
を簡単に指定することを可能にするシステムを提供する。
おいて実施される。本発明によるシステムは、システム管理者がユーザに対して
、ディレクトリエントリの特定の属性にアクセスできる者のリストを指定する柔
軟性を与えることを可能にする単純なコマンド言語を提供する。加えて、本発明
は、複雑なコマンドシンタックスを学習する必要なく、ユーザがアクセスリスト
を簡単に指定することを可能にするシステムを提供する。
【0017】
軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリ(ネットスケープ
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造に組織化されている。ディレクトリは、いくつかの組織単位エントリを含
むことができるいくつかの組織エントリを含むことが出来る。これらのエントリ
は、更に再分割することができる。
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造に組織化されている。ディレクトリは、いくつかの組織単位エントリを含
むことができるいくつかの組織エントリを含むことが出来る。これらのエントリ
は、更に再分割することができる。
【0018】
LDAPは、ディレクトリツリーの特定の部分で実行可能な検索動作を提供する。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
【0019】
エントリと属性とは、人事情報、サーバ設定、取引関係、及び優先度といった
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
【0020】
このアクセス制御に使用される方法は、アクセス制御リスト(ACL)を介して
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
【0021】
ディレクトリは、例えば、人間等に関する情報の集合を含むイントラネット内
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
【0022】
機能向上により、ユーザには、自分の個人情報の一部にアクセスすることが出
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
【0023】
もう一つの欠点は、ACLシンタックスが一般に複雑なことである。通常のユー
ザが、効率的にかつ安全に規則を使用できるように、この形式と規則のフィール
ドを理解することは不可能である。
ザが、効率的にかつ安全に規則を使用できるように、この形式と規則のフィール
ドを理解することは不可能である。
【0024】
提示されている問題は次の通りである。
・ユーザに、自分の情報の一部を管理させる方法。
【0025】
・セキュリティ規則の違反が発生しないように、DSAdminが、情報を管理でき
るようにする方法。
るようにする方法。
【0026】
・前記状況の下で、サーバを管理可能にする方法。
【0027】
理想的には、DSAdminが、(ディレクトリ内のn属性から)以下のタスクを実行
する規則を有していることが望まれる。
する規則を有していることが望まれる。
【0028】
1.世界中の如何なる者も、n1属性を読み出せる(これは、典型的な要件であ
る)。属性の例は、cn、sn、電話番号である。
る)。属性の例は、cn、sn、電話番号である。
【0029】
2.ユーザ自身は、例えば、自宅住所、自宅電話番号等のn2属性を読み取りか
つ修正できる。
つ修正できる。
【0030】
3.所有者/マネージャは、例えば、給与、雇用等級等のn3属性を管理できる
。
。
【0031】
4.ユーザは、n4属性を管理できる、つまりユーザが、この属性を読み取り又
は修正できる者を決定する。例えば、ユーザは、サムのみが趣味属性を読み出せ
、ケリーのみが緊急連絡先情報の読み取り又は変更を行って情報を最新に保てる
ように、決定することができる。
は修正できる者を決定する。例えば、ユーザは、サムのみが趣味属性を読み出せ
、ケリーのみが緊急連絡先情報の読み取り又は変更を行って情報を最新に保てる
ように、決定することができる。
【0032】
5.管理者グループを除く不特定多数の者は、雇用状況等、残りのn5 =[n−(
n1+n2+n3+n4)]属性にアクセスできない。
n1+n2+n3+n4)]属性にアクセスできない。
【0033】
1、2、3、及び5を解決することは、かなり容易であり、これについては以下で
説明する。唯一、困難な項目は、4番目のケースである。前述したように、この
機能を可能にするには、ユーザが自分のACLを作成することが出来ることが必要
である。これは、何百万ものACLにつながることになり、受け入れることはでき
ない。本明細書の以下の部分では、わずかなACLと既存のインターネット規格と
を使用して、こうした問題を克服する新しいアプローチを説明する。
説明する。唯一、困難な項目は、4番目のケースである。前述したように、この
機能を可能にするには、ユーザが自分のACLを作成することが出来ることが必要
である。これは、何百万ものACLにつながることになり、受け入れることはでき
ない。本明細書の以下の部分では、わずかなACLと既存のインターネット規格と
を使用して、こうした問題を克服する新しいアプローチを説明する。
【0034】
これが応用可能な一領域は、Netcenterメンバのレジストリを有するネットス
ケープのNetcenter内にある。すべてのメンバ情報は、ディレクトリサーバに格
納される。Netcenter管理者は、メンバの情報/プロフィールを保守したいばか
りではなく、他のメンバがアクセス出来る他のいくつかの重要な情報をメンバが
保守できるような柔軟性も提供したいと考えるであろう。この問題に明快な方法
で対処できる現行のソリューションは、存在しないため、差し迫った必要性が存
在する。
ケープのNetcenter内にある。すべてのメンバ情報は、ディレクトリサーバに格
納される。Netcenter管理者は、メンバの情報/プロフィールを保守したいばか
りではなく、他のメンバがアクセス出来る他のいくつかの重要な情報をメンバが
保守できるような柔軟性も提供したいと考えるであろう。この問題に明快な方法
で対処できる現行のソリューションは、存在しないため、差し迫った必要性が存
在する。
【0035】
当業者は、本明細書においてはLDAPディレクトリについて述べているが、本発
明は、任意のディレクトリアプリケーションにおいて実施可能であることを、容
易に理解するであろう。加えて、引用した具体例は人間に関係した属性に関わる
ものであるが、当業者は、システム内に格納された任意の属性へのアクセスを本
発明により制御できることを容易に理解するであろう。
明は、任意のディレクトリアプリケーションにおいて実施可能であることを、容
易に理解するであろう。加えて、引用した具体例は人間に関係した属性に関わる
ものであるが、当業者は、システム内に格納された任意の属性へのアクセスを本
発明により制御できることを容易に理解するであろう。
【0036】
図1には、個人のLDAPディレクトリエントリ101の例が示されている。特定の個
人に関する属性が列挙されている。このような属性の一部(dn、sn、uid等)は
、管理者102により制御される。趣味、ホームページ、パーソナルページ等、特
定の数の属性103は、ユーザが読み取り及び書き込みアクセスを制御したい属性
である。
人に関する属性が列挙されている。このような属性の一部(dn、sn、uid等)は
、管理者102により制御される。趣味、ホームページ、パーソナルページ等、特
定の数の属性103は、ユーザが読み取り及び書き込みアクセスを制御したい属性
である。
【0037】
LDAP規格は、柔軟性が高い。新しい属性又はオブジェクトクラスを追加するこ
とにより、スキーマの拡張が可能になる。「趣味」107と呼ばれる新しい属性を
エントリに追加することは、この属性を有するオブジェクトクラスが既に追加さ
れている限り可能である。
とにより、スキーマの拡張が可能になる。「趣味」107と呼ばれる新しい属性を
エントリに追加することは、この属性を有するオブジェクトクラスが既に追加さ
れている限り可能である。
【0038】
図2に関して、理想的な状況では、所定のn属性201に対し、属性の一部(電話
番号等)がパブリック202である。つまり、如何なるユーザもこれらを見ること
ができる。他の属性は、プライベートであり、通常、他のユーザはこれらを利用
することはできない。例えば、部門管理者及びマネージャのみが、個人の給与属
性203にアクセスすることが可能で、スーパ管理者のみが、個人の雇用状況204に
アクセスすることが可能である。最後の属性セットは、ユーザが制御する205、
趣味、ホームページ、及びパーソナルページ等である。
番号等)がパブリック202である。つまり、如何なるユーザもこれらを見ること
ができる。他の属性は、プライベートであり、通常、他のユーザはこれらを利用
することはできない。例えば、部門管理者及びマネージャのみが、個人の給与属
性203にアクセスすることが可能で、スーパ管理者のみが、個人の雇用状況204に
アクセスすることが可能である。最後の属性セットは、ユーザが制御する205、
趣味、ホームページ、及びパーソナルページ等である。
【0039】
ケース1、2、3、及び5を解決する方法の説明には、以下のACLシンタックスが
使用される。このシンタックスは、一参考として使用されているに過ぎないこと
に留意されたい。
使用される。このシンタックスは、一参考として使用されているに過ぎないこと
に留意されたい。
【0040】
・任意の者が、n1属性を読み出すことが出来る。
【0041】
ACL:(list of n1 attrs)(allow(read)user=“anyone”)
【0042】
・ユーザ自身は、n2属性を読み出すことが出来る。
【0043】
ACL:(list of n2 attrs)(allow(read, write)user =“self
”)
”)
【0044】
・管理者グループしか、n5属性の読み取り/書き込みを行うことは出来ない。
【0045】
ACL:(list of n5 attrs)(allow(read, write)group=“Admi
ngroupe”)
ngroupe”)
【0046】
・所有者又はマネージャは、n3属性を管理することができる。
【0047】
ACL:(list of n3 attrs)(allow(read, write)attr=“manag
er”or attr=“owner”)
er”or attr=“owner”)
【0048】
再び図1を参照すると、ユーザPrasanta 108のマネージャは、Claire 109であ
り、彼女はn3属性のリストの読み取り/書き込みを行うことが可能である。同様
に、JoeのマネージャであるBillは、Joeのn3属性の読み取り/修正を行うことが
可能である。これは、一つのACLを使用して達成される。「マネージャ」の値は
、実行時にプラグインされる。
り、彼女はn3属性のリストの読み取り/書き込みを行うことが可能である。同様
に、JoeのマネージャであるBillは、Joeのn3属性の読み取り/修正を行うことが
可能である。これは、一つのACLを使用して達成される。「マネージャ」の値は
、実行時にプラグインされる。
【0049】
ケース4では、要件は、更に複雑になる。n4属性から、更に細かい粒度を達成
する必要がある。つまり、n4属性は、特定の者が読み取ることが出来(n4読み取
り属性)、(必ずしも、属性を読み取ることが出来る者とは同じではない)特定
の者により修正することが出来る(n4書き込み属性)。本発明の好適な実施形態
の場合、他のケースと同様のACLを提供し、かつ更にユーザ定義属性を使用する
ことにより、4番目のケースを解決する。
する必要がある。つまり、n4属性は、特定の者が読み取ることが出来(n4読み取
り属性)、(必ずしも、属性を読み取ることが出来る者とは同じではない)特定
の者により修正することが出来る(n4書き込み属性)。本発明の好適な実施形態
の場合、他のケースと同様のACLを提供し、かつ更にユーザ定義属性を使用する
ことにより、4番目のケースを解決する。
【0050】
再び図1を参照すると、ユーザ定義属性104は、ユーザが自分の属性103に対す
る読み取り許可105及び書き込み許可106を与えたい者をシステムに伝える。読み
取り属性105と書き込み属性106が、別個のリストであることは明白であるので、
これらは、実際、異なるものにすることができる。これにより、ユーザには、自
分の属性に対するアクセスの優れた管理を行う柔軟性が与えられる。
る読み取り許可105及び書き込み許可106を与えたい者をシステムに伝える。読み
取り属性105と書き込み属性106が、別個のリストであることは明白であるので、
これらは、実際、異なるものにすることができる。これにより、ユーザには、自
分の属性に対するアクセスの優れた管理を行う柔軟性が与えられる。
【0051】
本発明のACLシンタックスは、次の通りである(前述の例が使用されている)
。
。
【0052】
ACL: (list of n4−read attrs) (allow (read) filterattr=“whocanreadat
tr”)
tr”)
【0053】
Ex: (hobbies, emergencyContact) (allow (read) filterattr=“whocanread
attr”)
attr”)
【0054】
ACL: (list of n4−write attrs) (allow (write) filterattr=“whocanwrite
attr”)
attr”)
【0055】
Ex: (emergencyContact) (allow(write)filterattr=“whocanwriteattr”)
【0056】
ここで、whocanreadattr及びwhocanwriteattrの値は、次の通りである。
【0057】
Whocanreadattr: ((Idap:///o=abc.com?(uid=sam))(uid=kelly))
【0058】
Whocanwriteattr: (uid=kelly)
【0059】
読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDA
Pフィルタフォーマットである。このACLは、DSAdminにより作成される。これに
より、DSAdminは、ユーザがどの情報を公開できるかを完全に制御することが可
能になる。図3に関して、このフィルタ特性により、ユーザは、自分のイントラ
ネットのローカルユーザのみならず、インターネット全体のユーザも指定するこ
とができる。上の例の場合、Prasanta303及びKelly304は、同じ企業ネットスケ
ープ社301内のユーザ302である。「whocanreadattr」は、ABC社のSamとネットス
ケープ社のKellyーに読み取りアクセスを与える。
Pフィルタフォーマットである。このACLは、DSAdminにより作成される。これに
より、DSAdminは、ユーザがどの情報を公開できるかを完全に制御することが可
能になる。図3に関して、このフィルタ特性により、ユーザは、自分のイントラ
ネットのローカルユーザのみならず、インターネット全体のユーザも指定するこ
とができる。上の例の場合、Prasanta303及びKelly304は、同じ企業ネットスケ
ープ社301内のユーザ302である。「whocanreadattr」は、ABC社のSamとネットス
ケープ社のKellyーに読み取りアクセスを与える。
【0060】
図4を参照すると、このACL402は、エントリ403と共にディレクトリ401に格納
される。ユーザが、ディレクトリ401内のエントリ403にアクセスすると、サーバ
は、アクセスされている属性に指定されたACL402をチェックする。アクセスされ
ている属性の所有者の読み取り属性404又は書き込み属性405は、サーバがACL402
をチェックする時、このサーバにより使用される。
される。ユーザが、ディレクトリ401内のエントリ403にアクセスすると、サーバ
は、アクセスされている属性に指定されたACL402をチェックする。アクセスされ
ている属性の所有者の読み取り属性404又は書き込み属性405は、サーバがACL402
をチェックする時、このサーバにより使用される。
【0061】
上述の例を使用すると、「whocanwriteattr」の値は、サーバにより実行時に
「(uid=kelly)」としてプラグインされる。そのため、Kellyが、アクセス中
のクライアントである場合、フィルタはTRUEとなり、Kellyは「emergencyContac
t」属性の修正が可能となる。しかしながら、Billが、クライアントである場合
、フィルタはFALSEとなり、Billは権限を否定される。これにより、各ユーザは
、LDAPフィルタを作成することが可能となり、自分の情報を管理することができ
るようになる。
「(uid=kelly)」としてプラグインされる。そのため、Kellyが、アクセス中
のクライアントである場合、フィルタはTRUEとなり、Kellyは「emergencyContac
t」属性の修正が可能となる。しかしながら、Billが、クライアントである場合
、フィルタはFALSEとなり、Billは権限を否定される。これにより、各ユーザは
、LDAPフィルタを作成することが可能となり、自分の情報を管理することができ
るようになる。
【0062】
本発明の利点は、次の通りである。
【0063】
・Adminは、ユーザが行える事柄を完全に制御できる。
【0064】
・何百万ものACLではなく、少数のACLしか必要とされない。
【0065】
・サーバのパフォーマンスが、著しく増加する。
【0066】
・新しい属性の値が、インターネット規格に基づいている。
【0067】
本明細書では、好適な実施形態を参照して、本発明を説明したが、当業者は、
本発明の趣旨及び範囲から逸脱することなく、本明細書で述べたものを他の応用
により置換することが出来ることを、容易に理解するであろう。したがって、本
発明は、本明細書の請求項によりのみ制限される。
本発明の趣旨及び範囲から逸脱することなく、本明細書で述べたものを他の応用
により置換することが出来ることを、容易に理解するであろう。したがって、本
発明は、本明細書の請求項によりのみ制限される。
【図1】
本発明によるLDAPディレクトリエントリを示す図である。
【図2】
本発明による、n属性にアクセスする方法の例を示す説明図である。
【図3】
本発明による、企業階層ツリーのユーザの編成を表すブロック説明図である。
【図4】
本発明による、ACL、エントリ、及び読み取り/書き込み属性を含むディレク
トリを示すブロック説明図である。
トリを示すブロック説明図である。
101 ディレクトリエントリ
102 管理者
103 ユーザ属性
104 ユーザ定義属性
105 読み取り許可
106 書き込み許可
108 プラサンタ
109 クレア
201 n属性
202 パブリック
203 給与属性
204 個人の雇用状況
205 ユーザ制御対象
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,GW,ML,
MR,NE,SN,TD,TG),AP(GH,GM,K
E,LS,MW,MZ,SD,SL,SZ,TZ,UG
,ZW),EA(AM,AZ,BY,KG,KZ,MD,
RU,TJ,TM),AE,AL,AM,AT,AU,
AZ,BA,BB,BG,BR,BY,CA,CH,C
N,CR,CU,CZ,DE,DK,DM,EE,ES
,FI,GB,GD,GE,GH,GM,HR,HU,
ID,IL,IN,IS,JP,KE,KG,KP,K
R,KZ,LC,LK,LR,LS,LT,LU,LV
,MA,MD,MG,MK,MN,MW,MX,NO,
NZ,PL,PT,RO,RU,SD,SE,SG,S
I,SK,SL,TJ,TM,TR,TT,TZ,UA
,UG,UZ,VN,YU,ZA,ZW
Claims (27)
- 【請求項1】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のためのプロセスであって、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して当
該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることを可能にさせることを特徴とするプロセス。 - 【請求項2】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、アクセスさ
れている前記属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
請求項1に記載のプロセス。 - 【請求項3】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択したユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
することにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることを可能にする請求項1に記載のプロセス。 - 【請求項4】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、アクセスさ
れている前記属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
3に記載のプロセス。 - 【請求項5】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のためのプロセスであって、 ユーザ定義読み取りアクセスに対して当該管理者が選択したユーザ属性を列挙
した、システム管理者定義読み取りアクセス制御コマンドを提供するステップと
、 ユーザ定義書き込みアクセスに対して当該管理者が選択したユーザ属性を列挙
した、システム管理者定義書き込みアクセス制御コマンドを提供するステップと
、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性を
読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
するステップと、 ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性を
書き込むことが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
するステップと、 を備え、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
セス制御コマンドと、前記アクセスされている属性の所有者の前記読み取りリス
トとを使用して、当該クライアントが、当該読み取りアクセスの実行が許可され
ているか否かを判断し、かつ 当該管理者がユーザ定義書き込みアクセスに対して選択した当該ユーザ属性の
一つに対して、クライアントの書き込みアクセスが発生した時、当該クライアン
トが、当該書き込みアクセス制御コマンドと前記アクセスされている属性の所有
者の前記書き込みリストとを使用して、当該書き込みアクセスの実行が許可され
ているか否かを判断することを特徴とするプロセス。 - 【請求項6】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のためのプロセスであって、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
することにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることを可能にすることを特徴とするプロセス。 - 【請求項7】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
6記載のプロセス。 - 【請求項8】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることが可能になる請求項6記載のプロセス。 - 【請求項9】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
項8記載のプロセス。 - 【請求項10】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のための装置であって、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストと、 システム管理者定義読み取りアクセス制御コマンドと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
当該管理者が選択したユーザ属性を列挙し、 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることが可能になることを特徴とする装置。 - 【請求項11】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
項10記載の装置。 - 【請求項12】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストと、 システム管理者定義書き込みアクセス制御コマンドと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることが可能になる請求項10記載の装置。 - 【請求項13】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
12記載の装置。 - 【請求項14】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のための装置であって、 ユーザ定義読み取りアクセスに対して当該管理者が選択したユーザ属性を列挙
した、システム管理者定義読み取りアクセス制御コマンドと、 ユーザ定義書き込みアクセスに対して当該管理者が選択したユーザ属性を列挙
した、システム管理者定義書き込みアクセス制御コマンドと、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性を
読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストと、 ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性を
書き込むことが可能なユーザIDを含む、複数のユーザ定義書き込みリストと、 を備え、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
セス制御コマンドと前記アクセスされている属性の所有者の前記読み取りリスト
とを使用して、当該クライアントが、当該読み取りアクセスの実行が許可されて
いるか否かを判断し、かつ ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性の
一つに対するクライアントの書き込みアクセスが発生した時、当該書き込みアク
セス制御コマンドとアクセスされている属性の所有者の書き込みリストとを使用
して、当該クライアントが当該書き込みアクセスの実行が許可されているか否か
を判断することを特徴とする装置。 - 【請求項15】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
略化アクセス制御言語のための装置であって、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストと、 システム管理者定義書き込みアクセス制御コマンドと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることが可能になることを特徴とする装置。 - 【請求項16】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
15記載の装置。 - 【請求項17】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストと、 システム管理者定義読み取りアクセス制御コマンドと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
当該管理者が選択したユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることが可能になる請求項15記載の装置。 - 【請求項18】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
請求項17記載の装置。 - 【請求項19】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
ム記憶媒体であって、前記方法ステップが、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を含み、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることを可能にすることを特徴とするプログラム記憶媒体。 - 【請求項20】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
請求項19記載の方法。 - 【請求項21】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を含み、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択したユーザ属性を列挙し、 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることが可能になる請求項19記載の方法。 - 【請求項22】 クライアントの書き込みアクセス時、前記ディレクトリサーバは、前記アクセ
スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の前記書き込みリストを参照して、当該ク
ライアントが当該書き込みアクセスの実行が許可されているか否かを判断する請
求項21記載の方法。 - 【請求項23】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
ム記憶媒体であって、前記方法ステップが、 当該管理者がユーザ定義読み取りアクセスに対して選択したユーザ属性を列挙
した、システム管理者定義読み取りアクセス制御コマンドを提供するステップと
、 当該管理者がユーザ定義書き込みアクセスに対して選択したユーザ属性を列挙
した、システム管理者定義書き込みアクセス制御コマンドを提供するステップと
、 当該管理者がユーザ定義読み取りアクセスに対して選択した当該ユーザ属性を
読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
するステップと、 当該管理者がユーザ定義書き込みアクセスに対して選択した当該ユーザ属性を
書き込むことが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
するステップと、 を含み、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
セス制御コマンドと前記アクセスされている属性の所有者の前記読み取りリスト
とを使用して、当該クライアントが、当該読み取りアクセスの実行が許可されて
いるか否かを判断し、かつ ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性の
一つに対するクライアントの書き込みアクセスが発生した時、当該書き込みアク
セス制御コマンドと前記アクセスされている属性の所有者の前記書き込みリスト
とを使用して、当該クライアントが当該書き込みアクセスの実行が許可されてい
るか否かを判断することを特徴とするプログラム記憶媒体。 - 【請求項24】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
ム記憶媒体であって、前記方法ステップが、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を含み、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
当該管理者が選択したユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
ることが可能になることを特徴とするプログラム記憶媒体。 - 【請求項25】 クライアントの書き込みアクセス時、前記3ディレクトリサーバが、前記アク
セスされている属性に従って特定の書き込みアクセス制御コマンドを選択し、か
つ前記アクセスされている属性の所有者の前記書き込みリストを参照して、当該
クライアントが当該書き込みアクセスの実行が許可されているか否かを判断する
請求項24記載の方法。 - 【請求項26】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を含み、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して当
該管理者が選択したユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
ることが可能になる請求項24記載の方法。 - 【請求項27】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
項26記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/447,443 | 1999-11-22 | ||
US09/447,443 US6950819B1 (en) | 1999-11-22 | 1999-11-22 | Simplified LDAP access control language system |
PCT/US2000/029057 WO2001038971A2 (en) | 1999-11-22 | 2000-10-19 | Simplified ldap access control language system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003515806A true JP2003515806A (ja) | 2003-05-07 |
Family
ID=23776393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001540459A Pending JP2003515806A (ja) | 1999-11-22 | 2000-10-19 | 簡略化ldapアクセス制御言語システム |
Country Status (7)
Country | Link |
---|---|
US (1) | US6950819B1 (ja) |
EP (1) | EP1232432A2 (ja) |
JP (1) | JP2003515806A (ja) |
CN (1) | CN100414471C (ja) |
AU (1) | AU1573701A (ja) |
HK (1) | HK1046963A1 (ja) |
WO (1) | WO2001038971A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006127504A (ja) * | 2004-10-28 | 2006-05-18 | Microsoft Corp | 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
AU2003904317A0 (en) | 2003-08-13 | 2003-08-28 | Securicom (Nsw) Pty Ltd | Remote entry system |
JP4273934B2 (ja) * | 2003-11-13 | 2009-06-03 | 株式会社日立製作所 | ファイルシステム |
US9697373B2 (en) * | 2004-11-05 | 2017-07-04 | International Business Machines Corporation | Facilitating ownership of access control lists by users or groups |
GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
EP1860589B1 (en) * | 2006-05-26 | 2013-11-27 | Incard SA | Method for accessing structured data in IC Cards |
US20080016546A1 (en) * | 2006-07-13 | 2008-01-17 | Li Tong L | Dynamic profile access control |
CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
US20100036845A1 (en) * | 2008-08-07 | 2010-02-11 | Research In Motion Limited | System and Method for Negotiating the Access Control List of Data Items in an Ad-Hoc Network with Designated Owner Override Ability |
US9882769B2 (en) * | 2008-08-08 | 2018-01-30 | Blackberry Limited | System and method for registration of an agent to process management object updates |
US8250628B2 (en) * | 2009-08-28 | 2012-08-21 | International Business Machines Corporation | Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions |
US8601263B1 (en) | 2010-05-18 | 2013-12-03 | Google Inc. | Storing encrypted objects |
US10277601B1 (en) * | 2015-05-11 | 2019-04-30 | Google Llc | System and method for recursive propagating application access control |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06348575A (ja) * | 1993-06-11 | 1994-12-22 | Pfu Ltd | データベース制御装置 |
JPH10198593A (ja) * | 1997-01-10 | 1998-07-31 | Nec Corp | オブジェクト指向データベースシステム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4799153A (en) * | 1984-12-14 | 1989-01-17 | Telenet Communications Corporation | Method and apparatus for enhancing security of communications in a packet-switched data communications system |
US5129083A (en) * | 1989-06-29 | 1992-07-07 | Digital Equipment Corporation | Conditional object creating system having different object pointers for accessing a set of data structure objects |
US5263165A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | System for providing user access control within a distributed data processing system having multiple resource managers |
US5388196A (en) | 1990-09-07 | 1995-02-07 | Xerox Corporation | Hierarchical shared books with database |
CA2176775C (en) * | 1995-06-06 | 1999-08-03 | Brenda Sue Baker | System and method for database access administration |
US5696898A (en) * | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
US5880731A (en) * | 1995-12-14 | 1999-03-09 | Microsoft Corporation | Use of avatars with automatic gesturing and bounded interaction in on-line chat session |
FR2745649B1 (fr) * | 1996-03-01 | 1998-04-30 | Bull Sa | Systeme de configuration de logiciels preconfigures sur des systemes ouverts en reseau dans un environnement distribue et procede mis en oeuvre par un tel systeme |
US6098081A (en) * | 1996-05-06 | 2000-08-01 | Microsoft Corporation | Hypermedia navigation using soft hyperlinks |
US6038563A (en) | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
US6470332B1 (en) * | 1999-05-19 | 2002-10-22 | Sun Microsystems, Inc. | System, method and computer program product for searching for, and retrieving, profile attributes based on other target profile attributes and associated profiles |
-
1999
- 1999-11-22 US US09/447,443 patent/US6950819B1/en not_active Expired - Lifetime
-
2000
- 2000-10-19 AU AU15737/01A patent/AU1573701A/en not_active Abandoned
- 2000-10-19 CN CNB008159122A patent/CN100414471C/zh not_active Expired - Lifetime
- 2000-10-19 WO PCT/US2000/029057 patent/WO2001038971A2/en active Application Filing
- 2000-10-19 JP JP2001540459A patent/JP2003515806A/ja active Pending
- 2000-10-19 EP EP00978258A patent/EP1232432A2/en not_active Withdrawn
-
2002
- 2002-10-18 HK HK02107600.5A patent/HK1046963A1/zh unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06348575A (ja) * | 1993-06-11 | 1994-12-22 | Pfu Ltd | データベース制御装置 |
JPH10198593A (ja) * | 1997-01-10 | 1998-07-31 | Nec Corp | オブジェクト指向データベースシステム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006127504A (ja) * | 2004-10-28 | 2006-05-18 | Microsoft Corp | 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 |
Also Published As
Publication number | Publication date |
---|---|
WO2001038971A3 (en) | 2002-03-07 |
WO2001038971A2 (en) | 2001-05-31 |
AU1573701A (en) | 2001-06-04 |
HK1046963A1 (zh) | 2003-01-30 |
CN100414471C (zh) | 2008-08-27 |
US6950819B1 (en) | 2005-09-27 |
CN1451109A (zh) | 2003-10-22 |
EP1232432A2 (en) | 2002-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6535879B1 (en) | Access control via properties system | |
US8973157B2 (en) | Privileged access to managed content | |
CN107480517B (zh) | 应用市场管理控件 | |
US8370388B2 (en) | Mandatory access control list for managed content | |
US7788489B2 (en) | System and method for permission administration using meta-permissions | |
US7404203B2 (en) | Distributed capability-based authorization architecture | |
US7251647B2 (en) | Web based resource distribution system | |
US6917975B2 (en) | Method for role and resource policy management | |
US7882544B2 (en) | Inherited role-based access control system, method and program product | |
US7058630B2 (en) | System and method for dynamically controlling access to a database | |
JP2003515806A (ja) | 簡略化ldapアクセス制御言語システム | |
US20040225893A1 (en) | Distributed capability-based authorization architecture using roles | |
US20100088738A1 (en) | Global Object Access Auditing | |
US8719903B1 (en) | Dynamic access control list for managed content | |
US20070043716A1 (en) | Methods, systems and computer program products for changing objects in a directory system | |
US20050132215A1 (en) | Dynamic delegation method and device using the same | |
US20020083059A1 (en) | Workflow access control | |
JP2007524884A (ja) | 階層的な役割ベース資格のためのシステム及び方法 | |
WO2014142742A2 (en) | Policy based data protection | |
WO2003015342A1 (en) | Dynamic rules-based secure data access system for business computer platforms | |
JP2002207739A (ja) | ドキュメント管理システム | |
US7657925B2 (en) | Method and system for managing security policies for databases in a distributed system | |
US6633870B1 (en) | Protocols for locking sharable files and methods for carrying out the protocols | |
JP2003108440A (ja) | データ公開方法、データ公開プログラム、データ公開装置 | |
US8095970B2 (en) | Dynamically associating attribute values with objects |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070622 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100507 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101019 |