LDAP サーバーで定義されるポリシーは、1 つ以上のオブジェクトで構成され、各オブジェクトには、定義済みのオブジェクト・クラスと固有の名前が付いています。オブジェクト名は、LDAP 識別名 (DN) の形式になっています。これは、相対識別名 (RDN) と呼ばれる個々のパーツで
構成されているテキスト・ストリングです。命名の構造では、階層ファイル・システムにおけるディレクトリーと同様の方法で、階層ツリーが定義されます。例えば、以下のオブジェクト・セットについて考えてみます。
Object 1, DN: o=IBM, c=US
Object 2, DN: cn=group_1, o=IBM, c=US
Object 3, DN: cn=group_5, o=IBM, c=US
Object 4, DN: cn=group_1_sub_A, cn=group_1, o=IBM, c=USこのオブジェクト・セットは、オブジェクト 1 をルートとしたツリーとして見ることができます。オブジェクト 2 と 3 はルートの下の分岐で、オブジェクト 4 はオブジェクト 2 の下の分岐です。使用する名前は、それらが定義しているオブジェクトの属性です。例えば、名前が "cn=group_1" で始まるオブジェクト 2 には、group_1 の値を指定した cn 属性が入っています。LDAP の命名について詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。
オブジェクト・クラス名は、各 LDAP オブジェクトのタイプを定義します。 top オブジェクト・クラスは定義済みで、 他のすべてのオブジェクト・クラスのルートです。
オブジェクト・クラスには次の 3 つのタイプがあります。
- 要約オブジェクト・クラス
- ポリシーなどの広い概念の定義や、すべてのサブクラスに適用される基本的な属性の定義に使用します。
- 構造オブジェクト・クラス
- 基本構成ブロックで、LDAP サーバー上の実際のオブジェクトとしてインスタンスを生成可能な唯一のタイプのオブジェクト・クラスです。
- 補助オブジェクト・クラス
- 異なる構造オブジェクト・クラス間で共用される属性の定義、またはオブジェクトの基本セットの拡張に使用します。
ポリシー・エージェントは、以下のオブジェクト・クラスを認識します。字下げはサブクラスを定義しています。例えば ibm-policyGroup は ibm-policy のサブクラスであり、ibm-policy に定義されたすべての属性を継承しています。
図 1. LDAP スキーマ・オブジェクト・クラスの階層
注: 図 1 の中で太字のイタリック体で示されているクラスは、スキーマ・バージョン 2 用であり、似た名前をもつスキーマ・バージョン 3 クラスとは互いに排他的です。
| オブジェクト・クラス名 | オブジェクトの目的 |
|---|---|
| Top | LDAP 階層ツリーのルートを固定するために用いられる。 |
| ibm-policy | すべてのポリシー・オブジェクトのルートとして用いられる。 |
| ibm-policyGroup | ポリシー・グループ・オブジェクトを定義する。 |
| ibm-policyRule | ポリシー規則オブジェクトを定義する。 |
| ibm-policyRuleConditionAssociation | ポリシー規則オブジェクトとポリシー条件との間の関連を定義する。 |
| ibm-policyRuleActionAssociation | ポリシー規則オブジェクトとポリシー・アクションとの間の関連を定義する。 |
| ibm-PolicyInstance | 再使用可能ポリシー・オブジェクトのインスタンスを定義する。 |
| ibm-PolicyConditionInstance | 再使用可能ポリシー条件オブジェクトのインスタンスを定義する。 |
| ibm-PolicyActionInstance | 再使用可能ポリシー・アクション・オブジェクトのインスタンスを定義する。 |
| ibm-PolicyElementAuxClass | 非ポリシー・オブジェクトにポリシー・オブジェクトとしてタグ を付けるのに使用できる補助クラスを定義する。 |
| ibm-policyCondition | ポリシー条件オブジェクトを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
| ibm-policyTimePeriodCondition | ポリシー規則がアクティブであると見なされる時間枠を表すための補助クラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
| ibm-networkingpolicyCondition | ネットワーキング・ポリシー条件を定義するために使用される ibm-PolicyCondition のサブクラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
| ibm-policyAction | ポリシー・アクション・オブジェクトを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
| ibm-serviceCategories | ポリシー・アクションの QoS 属性セットを表すための補助クラスを定義する。(スキーマ・バージョン 2 - マイグレーションのためにサポート) |
| ibm-policyConditionAuxClass | 一般ポリシー条件の補助クラスを定義する。 |
| ibm-policyTimePeriodConditionAuxClass | ポリシー規則がアクティブであると見なされる時間枠を表すための補助クラスを定義する。 |
| ibm-networkingPolicyConditionAuxClass | ネットワーキング・ポリシー条件を定義するために用いられる補助クラスを定義する。 |
| ibm-routeConditionAuxClass | ポリシー規則の QoS ルーティング条件を表すための補助クラスを定義する。 |
| ibm-hostConditionAuxClass | ポリシー規則の QoS ホスト (終端) 条件を表すための補助クラスを定義する。 |
| ibm-applicationConditionAuxClass | ポリシー規則の QoS アプリケーションおよびトランスポート条件を表すための補助クラスを定義する。 |
| ibm-idsConditionAuxClass | 一般 IDS 条件を表すための補助クラスを定義する。 |
| ibm-idsAttackConditionAuxClass | IDS アタック条件を表すための補助クラスを定義する。 |
| ibm-idsIPAttackConditionAuxClass | IDS IP アタック条件を表すための補助クラスを定義する。 |
| ibm-idsTrafficRegulationConditionAuxClass | IDS トラフィック調整条件を表すための補助クラスを定義する。 |
| ibm-idsScanConditionAuxClass | IDS グローバル・スキャン条件を表すための補助クラスを定義する。 |
| ibm-idsScanEventConditionAuxClass | IDS スキャン・イベント条件を表すための補助クラスを定義する。 |
| ibm-idsTransportConditionAuxClass | IDS トランスポート条件を表すための補助クラスを定義する。 |
| ibm-idsHostConditionAuxClass | IDS ホスト条件を表すための補助クラスを定義する。 |
| ibm-policyActionAuxClass | 一般ポリシー・アクションの補助クラスを定義する。 |
| ibm-serviceCategoriesAuxClass | ポリシー・アクションの QoS 属性セットを表すための補助クラスを定義する。 |
| ibm-idsActionAuxClass | 一般 IDS アクションを表すための補助クラスを定義する。 |
| ibm-idsNotificationAuxClass | IDS アクションの通知オプションを表すための補助クラスを定義する。 |
| ibm-idsAttackActionsAuxClass | IDS アクションのアタック属性を表すための補助クラスを定義する。 |
| ibm-idsFloodAttackActionsAuxClass | IDS アクションのフラッディング固有のアタック属性を表す補助クラスを定義する。 |
| ibm-idsTrafficRegulationActionAuxClass | IDS アクションの一般トラフィック調整属性を表すための補助クラスを定義する。 |
| ibm-idsTRtcpActionAuxClass | IDS アクションのトラフィック調整 TCP 属性を表すための補助クラスを定義する。 |
| ibm-idsTRudpActionAuxClass | IDS アクションのトラフィック調整 UDP 属性を表すための補助クラスを定義する。 |
| ibm-idsScanActionAuxClass | IDS アクションのグローバル・スキャン属性を表すための補助クラスを定義する。 |
| ibm-idsScanSensitivityActionAuxClass | IDS アクションのスキャン感度属性を表すための補助クラスを定義する。 |
| ibm-idsScanExclusionActionAuxClass | IDS アクションのスキャン除外リストを定義するための補助クラスを定義する。 |
| ibm-policyRepository | 一般再使用可能ポリシー・オブジェクトのリポジトリーを定義する。 |
| ibm-policySubtreesPtrAuxClass | ポリシー・エージェントによって検索する、LDAP ディレクトリー・ツリー内のサブツリーを指すポインターを表すための補助クラスを定義する。これによってサブツリー全体を一度に検索でき、状態によっては検索のパフォーマンスが向上する。 |
| ibm-policyGroupContainmentAuxClass | ポリシー・グループ・オブジェクトを別のポリシー・グループにバインディングするための補助クラスを定義する。 |
| ibm-policyRuleContainmentAuxClass | ポリシー規則オブジェクトを別のポリシー・グループにバインディングするための補助クラスを定義する。 |
| ibm-policyGroupLoadDistributionAuxClass | ポリシー・グループのロード分散属性を表すための補助クラスを定義する。ロード分散属性は、この補助クラスが付加されたグループが指すすべてのポリシー規則に適用される。 |
| SetSubnetPrioTosMask | アウトバウンド IPv4 パケット Type of Service (ToS) バイトまたは IPv6 パケット Traffic Class 値の、QDIO 装置優先順位および仮想 LAN (VLAN) ユーザー優先順位へのマッピングを定義する。 |
ポリシー・オブジェクトは、以下の目的を達成するために使用されます。
- 関連するオブジェクトを一緒にまとめてグループ化する。ポリシー・グループには、関連するポリシー規則を含めることができ、さらに、その他のポリシー・グループを含めることもできます。これにより、管理上のさまざまな方法でオブジェクトをグループ化することができます。結果のオブジェクトを z/OS® Communications Server V1R2 より前のポリシー・エージェントによって検索する場合には、オブジェクトには objectClass 属性として ibm-policyGroupContainmentAuxClass、ibm-policyRuleContainmentAuxClass、または ibm-policyGroupLoadDistributionAuxClass の値を含めることはできません。
- ポリシー規則の条件を指定する。条件は、トラフィック・パケットをフィルターに掛ける際に使用されるもので、
ソースおよび宛先のポート、アプリケーション名、プロトコルなどの属性を指定することができます。
ポリシー規則は、指定された条件の性質に応じて、単純、複合のいずれにもすることが
できます。単一の条件を指定すると、規則は単純規則になります。この単一条件は、任意の条件属性で構成することができますが、それぞれにインスタンスは 1 つだけです。例えば、単純規則で指定できる宛先ポートの範囲は 1 つだけです。複合規則では複数の条件を指定します。指定された条件は、1 つ以上のレベルに編成され、各レベルは 1 つ以上の条件で構成されます。各条件は、任意の条件属性の 1 つのインスタンスで構成することができます。したがって、条件は 2 次元の配列と考えることができます。個々のどの条件も否定することができます。条件には、指定された条件リストのタイプに応じて、2 つのタイプの処理が適用されます。
- 論理和標準形 (DNF)。DNF 条件は、各レベルで論理的に AND 演算が行われ、レベル間で OR (論理和) 演算が行われます。
- 論理積正規形 (CNF)。CNF 条件は、各レベルで論理的に OR (論理和) 演算が行われ、レベル間で AND 演算が行われます。
例えば、5 つの条件が指定されていて、そのうちの 2 つは 1 つのレベルに、3 つは別のレベルにあるとします。Level 1: C1, NOT C2 Level 2: C3, C4, C5DNF が指定されると、この条件は次のように評価されます。(C1 AND NOT C2) OR (C3 AND C4 AND C5)同じ条件を CNF で評価すると、次のようになります。(C1 OR NOT C2) AND (C3 OR C4 OR C5)これにより、幅広い種類の条件論理をポリシー規則に定義することができます。
- ポリシー規則がアクティブである時間枠を指定する。アクティブなポリシー規則とは、ポリシー・エージェントによって TCP/IP スタックにインストールされている ポリシー規則のことです。時間枠の指定には幅広い種類の属性を使用することができます。また、どのポリシー規則に対しても、最大 25 個の時間枠を指定することができます。指定された時間間隔のいずれかに現在の時刻が含まれている場合、そのポリシー規則はアクティブです。
- その条件の評価に基づいて、アクティブなポリシー規則にマップするトラフィックに代わって行うアクションを 指定する。QoS アクションには、定義するポリシーのタイプ、すなわち、差異化サービス、RSVP、あるいは差異化サービスと RSVP の両方を示すスコープ属性が含まれます。各規則について、最大 4 個のアクションを指定することができますが、一度にアクティブにすることができるアクションは、各スコープにつき 1 つだけです。IDS アクションには、定義しているポリシーのタイプを示すアクション・タイプ、すなわちアタック、TR、スキャン・グローバル、またはスキャン・イベントが入ります。各規則には、IDS アクションを 1 つだけ指定することができます。QoS および IDS アクション (または条件) を、単一のポリシー規則に混合させることはできません。