LDAP オブジェクトは、参照されるオブジェクトの DN を使用することで、他のオブジェクトを参照することができます。例えば、あるポリシー規則を、規則オブジェクトでそれらのオブジェクトを参照することで、そのポリシー規則の条件および時間枠から分離することができます。
各 LDAP オブジェクトは、幾つかの属性で構成されます。属性の中の幾つかは、すべての LDAP オブジェクトに適用される汎用 LDAP 属性です。その他の属性は、バージョン 1 のポリシー定義にのみ使用されるものです。その他のバージョン 2 およびそれ以降のポリシー属性は、次に示す固有の接頭部で始まって
いなければなりません。
ibm-
複合ポリシー規則 (複数の条件またはアクションを持つ規則) を定義する場合、2 つの互いに排他的な方式を使用して、条件またはアクションを規則と関連付けることができます。
- ibm-policyConditionListDN および ibm-policyActionListDN 属性は、規則から省略することができます。この場合、条件とアクションとのアソシエーション・オブジェクトをポリシー規則の
従属オブジェクトとして、すなわちディレクトリー・サブツリーでその規則の下に、作成しなければなりません。これを、ディレクトリー情報ツリー (DIT) 束縛と呼んでいます。
- ibm-policyConditionListDN および ibm-policyActionListDN 属性を、規則に指定することが
できます。この場合、条件とアクションとのアソシエーション・オブジェクトをポリシー規則の従属オブジェクト
として、すなわち、ディレクトリー・サブツリーでその規則の下に、作成してください。ただしこれは必須の要件ではなく、そうすることが推奨されるだけです。これらのオブジェクトは実際には、DIT のどこに置くこともできます。