Object 1, DN: o=IBM, c=US
Object 2, DN: cn=group_1, o=IBM, c=US
Object 3, DN: cn=group_5, o=IBM, c=US
Object 4, DN: cn=group_1_sub_A, cn=group_1, o=IBM, c=US
このオブジェクト・セットは、オブジェクト 1 をルートとしたツリーとして見ることができます。オブジェクト 2 と 3 はルートの下の分岐で、オブジェクト 4 はオブジェクト 2 の下の分岐です。使用する名前は、それらが定義しているオブジェクトの属性です。例えば、名前が "cn=group_1" で始まるオブジェクト 2 には、group_1 の値を指定した cn 属性が入っています。LDAP の命名について詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。
オブジェクト・クラス名は、各 LDAP オブジェクトのタイプを定義します。 top オブジェクト・クラスは定義済みで、 他のすべてのオブジェクト・クラスのルートです。
ポリシー・エージェントは、以下のオブジェクト・クラスを認識します。字下げはサブクラスを定義しています。例えば ibm-policyGroup は ibm-policy のサブクラスであり、ibm-policy に定義されたすべての属性を継承しています。
オブジェクト・クラス名 | オブジェクトの目的 |
---|---|
Top | LDAP 階層ツリーのルートを固定するために用いられる。 |
ibm-policy | すべてのポリシー・オブジェクトのルートとして用いられる。 |
ibm-policyGroup | ポリシー・グループ・オブジェクトを定義する。 |
ibm-policyRule | ポリシー規則オブジェクトを定義する。 |
ibm-policyRuleConditionAssociation | ポリシー規則オブジェクトとポリシー条件との間の関連を定義する。 |
ibm-policyRuleActionAssociation | ポリシー規則オブジェクトとポリシー・アクションとの間の関連を定義する。 |
ibm-PolicyInstance | 再使用可能ポリシー・オブジェクトのインスタンスを定義する。 |
ibm-PolicyConditionInstance | 再使用可能ポリシー条件オブジェクトのインスタンスを定義する。 |
ibm-PolicyActionInstance | 再使用可能ポリシー・アクション・オブジェクトのインスタンスを定義する。 |
ibm-PolicyElementAuxClass | 非ポリシー・オブジェクトにポリシー・オブジェクトとしてタグ を付けるのに使用できる補助クラスを定義する。 |
ibm-policyCondition | ポリシー条件オブジェクトを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
ibm-policyTimePeriodCondition | ポリシー規則がアクティブであると見なされる時間枠を表すための補助クラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
ibm-networkingpolicyCondition | ネットワーキング・ポリシー条件を定義するために使用される ibm-PolicyCondition のサブクラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
ibm-policyAction | ポリシー・アクション・オブジェクトを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
ibm-serviceCategories | ポリシー・アクションの QoS 属性セットを表すための補助クラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
ibm-policyConditionAuxClass | 一般ポリシー条件の補助クラスを定義する。 |
ibm-policyTimePeriodConditionAuxClass | ポリシー規則がアクティブであると見なされる時間枠を表すための補助クラスを定義する。 |
ibm-networkingPolicyConditionAuxClass | ネットワーキング・ポリシー条件を定義するために用いられる補助クラスを定義する。 |
ibm-routeConditionAuxClass | ポリシー規則の QoS ルーティング条件を表すための補助クラスを定義する。 |
ibm-hostConditionAuxClass | ポリシー規則の QoS ホスト (終端) 条件を表すための補助クラスを定義する。 |
ibm-applicationConditionAuxClass | ポリシー規則の QoS アプリケーションおよびトランスポート条件を表すための補助クラスを定義する。 |
ibm-idsConditionAuxClass | 一般 IDS 条件を表すための補助クラスを定義する。 |
ibm-idsAttackConditionAuxClass | IDS アタック条件を表すための補助クラスを定義する。 |
ibm-idsIPAttackConditionAuxClass | IDS IP アタック条件を表すための補助クラスを定義する。 |
ibm-idsTrafficRegulationConditionAuxClass | IDS トラフィック調整条件を表すための補助クラスを定義する。 |
ibm-idsScanConditionAuxClass | IDS グローバル・スキャン条件を表すための補助クラスを定義する。 |
ibm-idsScanEventConditionAuxClass | IDS スキャン・イベント条件を表すための補助クラスを定義する。 |
ibm-idsTransportConditionAuxClass | IDS トランスポート条件を表すための補助クラスを定義する。 |
ibm-idsHostConditionAuxClass | IDS ホスト条件を表すための補助クラスを定義する。 |
ibm-policyActionAuxClass | 一般ポリシー・アクションの補助クラスを定義する。 |
ibm-serviceCategoriesAuxClass | ポリシー・アクションの QoS 属性セットを表すための補助クラスを定義する。 |
ibm-idsActionAuxClass | 一般 IDS アクションを表すための補助クラスを定義する。 |
ibm-idsNotificationAuxClass | IDS アクションの通知オプションを表すための補助クラスを定義する。 |
ibm-idsAttackActionsAuxClass | IDS アクションのアタック属性を表すための補助クラスを定義する。 |
ibm-idsFloodAttackActionsAuxClass | IDS アクションのフラッディング固有のアタック属性を表す補助クラスを定義する。 |
ibm-idsTrafficRegulationActionAuxClass | IDS アクションの一般トラフィック調整属性を表すための補助クラスを定義する。 |
ibm-idsTRtcpActionAuxClass | IDS アクションのトラフィック調整 TCP 属性を表すための補助クラスを定義する。 |
ibm-idsTRudpActionAuxClass | IDS アクションのトラフィック調整 UDP 属性を表すための補助クラスを定義する。 |
ibm-idsScanActionAuxClass | IDS アクションのグローバル・スキャン属性を表すための補助クラスを定義する。 |
ibm-idsScanSensitivityActionAuxClass | IDS アクションのスキャン感度属性を表すための補助クラスを定義する。 |
ibm-idsScanExclusionActionAuxClass | IDS アクションのスキャン除外リストを定義するための補助クラスを定義する。 |
ibm-policyRepository | 一般再使用可能ポリシー・オブジェクトのリポジトリーを定義する。 |
ibm-policySubtreesPtrAuxClass | ポリシー・エージェントによって検索する、LDAP ディレクトリー・ツリー内のサブツリーを指すポインターを表すための補助クラスを定義する。これによってサブツリー全体を一度に検索でき、状態によっては検索のパフォーマンスが向上する。 |
ibm-policyGroupContainmentAuxClass | ポリシー・グループ・オブジェクトを別のポリシー・グループにバインディングするための補助クラスを定義する。 |
ibm-policyRuleContainmentAuxClass | ポリシー規則オブジェクトを別のポリシー・グループにバインディングするための補助クラスを定義する。 |
ibm-policyGroupLoadDistributionAuxClass | ポリシー・グループのロード分散属性を表すための補助クラスを定義する。ロード分散属性は、この補助クラスが付加されたグループが指すすべてのポリシー規則に適用される。 |
SetSubnetPrioTosMask | アウトバウンド IPv4 パケット Type of Service (ToS) バイトまたは IPv6 パケット Traffic Class 値の、QDIO 装置優先順位および仮想 LAN (VLAN) ユーザー優先順位へのマッピングを定義する。 |
Level 1: C1, NOT C2
Level 2: C3, C4, C5
(C1 AND NOT C2) OR (C3 AND C4 AND C5)
(C1 OR NOT C2) AND (C3 OR C4 OR C5)
これにより、幅広い種類の条件論理をポリシー規則に定義することができます。