eDirectoryには、RFC 4370で規定されているように、LDAPプロトコルを使用してプロキシ承認を制御する柔軟性があります。プロキシ承認コントロールにより、クライアントは、接続に関連付けられている現在の承認IDの代わりに、指定された承認IDを使用して操作を処理することを要求できます。この機能は、各操作の承認IDを指定するためのメカニズムを提供し、複数のユーザの代わりにいくつかの操作を実行する必要があるクライアントで役に立ちます。
eDirectoryサーバで認証するには、管理者がクライアント要求でプロキシ承認コントロールOID、2.16.840.1.113730.3.4.18を指定する必要があります。プロキシ承認コントロールを使用するには、認証済みユーザが偽装ユーザに対してスーパバイザ権を持っている必要があります。
eDirectoryツリーを作成し、そこにユーザオブジェクトを追加します。
ログインして、[iManager]>[役割およびタスク]>[権利]>[トラスティの変更]の順に選択して、ユーザを選択します。
OKをクリックします。
[トラスティの追加]をクリックして、リストから別のユーザを選択します。
ユーザの[割り当てられた権利]をクリックします。
[All Attribute Rights]には[スーパバイザ]を選択し、ユーザには[エントリ権]を選択します。
[完了]をクリックし、[適用]をクリックします。
ldapsearchのプロキシ承認を実行するには、次のコマンドを使用します。
ldapsearch -x -h <SrvIP> -p <Port> -D <Admin DN> -w <Password> -e '!authzid=dn:<Impersonate user> -b o=novell -s one
プロキシ承認コントロールを使用して他のLDAP操作を実行するには、LDAP要求に2.16.840.1.113730.3.4.18 OIDを指定します。
プロキシ承認操作を監査するために、eDirectoryは、DSE_IMPERSONATEという新しいイベントを提供します。