Les drapeaux de schéma READ_FILTERED et BOTH_MANAGED ont été ajoutés à eDirectory 8.7.
Le drapeau READ_FILTERED sert à préciser qu'un attribut est de type LDAP OPÉRATIONNEL. LDAP utilise ce drapeau lors des requêtes de lecture du schéma pour indiquer qu'un attribut est « opérationnel ». READ_FILTERED est activé pour certains attributs de schéma définis en interne. La définition de l'état « opérationnel » pour LDAP comprend trois drapeaux de schéma. Outre le nouveau drapeau READ_FILTERED, les autres qui servent à spécifier l'état « opérationnel » sont READ_ONLY et HIDDEN. Si l'un d'eux est activé dans une définition de schéma, LDAP considère l'attribut comme « opérationnel » et ne le renvoie pas, sauf demande contraire.
Le drapeau BOTH_MANAGED offre un nouveau mécanisme de renforcement de la sécurité des droits. Il n'est significatif que sur un attribut de syntaxe de nom distinctif. S'il est activé pour un tel attribut, la connexion qui fait une demande doit disposer des droits à la fois sur l'objet et l'attribut cible, ainsi que sur l'objet référencé par l'attribut cible. Il s'agit d'une extension de la fonctionnalité actuelle du drapeau WRITE_MANAGED. Il n'est actuellement activé sur aucun attribut de schéma de base. Ce nouveau comportement de sécurité est uniquement possible sur un serveur eDirectory 8.7.x ou version ultérieure. Pour bénéficier d'un comportement homogène, vous devez donc mettre à niveau l'ensemble de l'arborescence vers Directory 8.7 ou version ultérieure.
Étant donné que ces drapeaux ne sont reconnus que par un serveur eDirectory 8.7.x(ou version ultérieure), ils peuvent uniquement être activés sur une définition de schéma par un serveur eDirectory 8.7.x (ou version ultérieure) qui dispose d'une copie de la partition root (seuls les serveurs détenteurs de la racine ont en effet la possibilité de modifier le schéma). L'installation normale d'un nouveau serveur ou la mise à niveau d'un serveur existant qui ne détient pas la partition racine ne permet pas d'ajouter ces nouveaux drapeaux au schéma de votre arborescence.
Si vous voulez activer l'une ou l'autre des nouvelles fonctions dans votre arborescence, assurez-vous que le schéma est correctement étendu afin d'ajouter ces drapeaux. Vous pouvez effectuer cette tâche de deux manières. La première consiste à choisir un serveur qui possède une copie accessible en écriture de la partition racine à mettre à niveau vers eDirectory version 8.7 ou ultérieure. Le nouveau schéma est alors étendu automatiquement à l'aide des nouveaux drapeaux.
La seconde méthode est plus complexe et comprend deux étapes :
Installez un nouveau serveur 8.7.x (ou version ultérieure) ou mettez à niveau un serveur de l'arborescence. Il n'est pas nécessaire que ce serveur possède une copie de [Root].
Ajoutez manuellement une copie de la partition racine au nouveau serveur.
Réexécutez les fichiers d'extension de schéma appropriés sur ce serveur pour étendre le schéma :
|
Plate-forme |
Instructions |
|---|---|
|
Windows |
Chargez le fichier install.dlm, puis cliquez sur Installer d'autres fichiers de schéma. |
|
Linux |
Utilisez l'utilitaire ndssch. Pour plus d'informations, reportez-vous à la section Utilisation de l'utilitaire ndssch pour étendre le schéma sous Linux. |
Installez les nouveaux fichiers de schéma de votre choix dont les nouveaux drapeaux sont activés.
(Facultatif) Une fois le schéma synchronisé, vous pouvez supprimer la réplique racine de ce serveur.
REMARQUE :Les nouveaux drapeaux de schéma activent des fonctions facultatives. Si vous n'en avez pas besoin, l'absence des nouveaux drapeaux sur les définitions de schéma ne perturbe pas le fonctionnement normal d'eDirectory dans votre arborescence. Le drapeau READ_FILTERED ne sera pas présent sur certaines définitions d'attributs. Dès lors, une requête de lecture LDAP de tous les attributs d'un objet peut renvoyer des données supplémentaires qu'elle n'aurait pas reçues dans le cas contraire. Certains attributs seront toujours traités comme étant opérationnels du fait de la présence des drapeaux READ_ONLY et/ou HIDDEN. Le drapeau BOTH_MANAGED doit uniquement être activé sur des arborescences entièrement mises à niveau, car il ne peut fonctionner de manière homogène que dans cet environnement.