動的グループ
動的グループは、静的グループとは別の方法でメンバーを定義します。 動的グループは、個々にメンバーをリストするのではなく、LDAP 検索を使用してメンバーを定義します。
動的グループは、構造化オブジェクト・クラス groupOfURLs (または
補助オブジェクト・クラス ibm-dynamicGroup) と属性 memberURL を使用して、簡略 LDAP URL 構文を使った検索を定義します。
ldap:///<base DN of search> ? ? <scope of search> ? <searchfilter>注: 例に示すように、構文にホスト名を含めることはできません。 その他のパラメーターは、LDAP の通常の URL 構文と同じように指定します。 各パラメーター・フィールドは、 ?で区切る必要があります。 パラメーターが指定されていない場合でも同様です。 一般に、戻される一連の属性は、基本 DN と検索範囲の間に含まれています。 このパラメーターは、動的メンバーシップの判別時にはサーバーで使用されないため、除外することができます。 分離文字 ? は必須です。
ここで、- base DN of search
- ディレクトリー内の検索の開始点です。 サフィックスやディレクトリーのルート (ou=Austin など) を 指定できます。 このパラメーターは必須です。
- scope of search
- 検索の範囲を指定します。 デフォルトの有効範囲は sub です。
- 基本
- URL に指定された基本 DN についての情報のみを戻します。
- 1
- URL に指定された基本 DN の 1 レベル下の項目について情報を戻します。 これには、基本項目は含まれません。
- sub
- 基本 DN とその下にあるすべてのレベルの項目について情報を戻します。
- searchfilter
- 検索の有効範囲内の項目に適用するフィルターです。 searchfilter の構文について詳しくは、「 コマンド解説書 」の idsldapsearch コマンド情報を参照してください。 デフォルトは objectclass=* です。
動的メンバーの検索は常にサーバー内部で行われます。そのため、完全な LDAP URL を指定する場合とは異なり、ホスト名とポート番号は指定されません。また、プロトコルは常に ldap が使用されます (ldaps ではありません)。 memberURL 属性には各種の URL が含まれますが、サーバーは、ldap:/// で始まる memberURL のみを使用して、動的メンバーを判別します。