LDAP ディレクトリは、属性を含んだオブジェクトで構成されています。それらのオブジェクトは、コンテナーと呼ばれる特別なオブジェクト内に階層的に配置されています。コンテナーには、通常のオブジェクトおよび他のコンテナーの両方を含めることができます。各オブジェクトは、オブジェクトに含めることができる属性、およびその他の情報を定義する、特定のクラスに属しています。
オブジェクト クラスの定義、および LDAP ディレクトリ内のコンテナーの階層は、スキーマと呼ばれます。各 LDAP ディレクトリには 1 つのスキーマがあり、そのスキーマは、別のスキーマをインポートすることで拡張可能です。MLDAP ESM は、LDAP サーバーにインポート可能な Micro Focus スキーマに付属しています。Micro Focus スキーマの一部と置き換えて既存のスキーマを導入することもできますが、それには、LDAP に関する高度な知識が必要となります。これ以降の説明では、標準の Micro Focus スキーマを使用していると仮定します。
すべてのオブジェクトに、識別名または DN があります。これは、type=value の形式の要素で構成されている、カンマ区切りの文字列です。DN は、ディレクトリ内のすべてのオブジェクトにわたって一意となります。オブジェクトには、共通名または CN もあります。これは、単純な文字列です (スペースが含まれている場合がある)。CN は、ディレクトリ内で一意ではありませんが、オブジェクトのコンテナー内など、特定の範囲内で一意にする必要がある場合があります。
標準の Micro Focus LDAP スキーマでは、そのすべてのオブジェクトが、アプリケーション パーティションと呼ばれる外部コンテナー内に配置されます。デフォルトでは、これには次のような名前が付けられます。
CN=Micro Focus,CN=Program Data,DC=local
アプリケーション パーティション内で、次のようにユーザー、ユーザー グループ、およびリソースのためのコンテナーを定義します。
CN=Enterprise Server Users,CN=Micro Focus,CN=Program Data,DC=local CN=Enterprise Server User Groups,CN=Micro Focus,CN=Program Data,DC=local CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local
Enterprise Server Users コンテナーには、Enterprise Server のために定義されているユーザーごとに、クラス microfocus-MFDS-User のオブジェクトが 1 つ含められます。このオブジェクト クラスは、Micro Focus スキーマによっても定義されます。これには、ユーザー名 (その CN としての名前)、パスワード (またはハッシュ値など、パスワード検証機能)、オプションのオペレーター クラスなど MTO 内で使用されるユーザー情報、および有効期限やログインが許可されるかどうかなどのセキュリティ情報が含まれます。
Enterprise Server User Groups コンテナーには、クラス microfocus-MFDS-Group のオブジェクトが含められます。このクラスには、単純にグループの名前 (CN としての名前)、およびそのグループに属すユーザーのリストが含まれます。ユーザー グループにより、規則をグループ全体、およびユーザーに適用できるため、複数ユーザーのためのリソース セキュリティ規則の記述が簡略化されます。
各グループ メンバーは、ユーザーの名前か、別のグループの名前が後に続く group キーワードのどちらかで指定できます。後者の場合は、指定したグループの全メンバーが、定義しているグループに含まれます。これらの "ネスト化グループ" は、グループの階層を定義するために使用できます。たとえば、開発者のいくつかのグループを単一の "ALLDEV" グループにまとめるために使用できます。それらは、1 つのグループに対するユーザーの数が、LDAP サーバーでサポートされている多値属性の最大サイズを超える場合に、大きなグループを作成するためにも使用できます。
Enterprise Server Resources コンテナーには、リソース クラスごとに 1 つ、追加のコンテナーが含められます。保護されたすべてのリソース (プログラム、トランザクション、データセットなど) が、1 つのリソース クラスに属します (LDAP オブジェクト クラスと混同しないでください)。リソース クラスでは、実際には、リソース名のための名前空間が指定されます。つまり、別々のクラスに属しているリソースの場合は、複数でも同じ名前で定義できます。MTO リソースでは、IBM が定義したさまざまなクラス名が使用されます。MFDS での Enterprise Server 構成定義など、MTO 以外のリソースでは、Micro Focus が定義したリソース クラス名が使用されます (混同を避けるため、使用される構文は MTO リソース クラスには使用できない)。ユーザーが、アプリケーションにおいて明示的なアクセス チェックを実行するために、独自のリソース クラスを定義することもできます。
各リソース クラスは、Enterprise Server Resources 内の 1 つのコンテナーとして定義され、そのクラス名がそのクラス コンテナーの CN となります。
各クラス コンテナー内には、クラス microfocus-MFDS-Resource の、ゼロ個以上のリソース オブジェクトがあります。これらのオブジェクトについては、CN を、トランザクション名やデータセット名など、完全なリソース名にするか、ワイルドカードを部分的または全体に使用した名前 (さまざまなリソース名と一致する) にすることができます。これにより、単一の規則が複数のリソースに適用されるよう記述できます。ワイルドカードの詳細については、「Wildcards」(ワイルドカード) のトピックで説明します。
各リソース オブジェクトには、microfocus-MFDS-Resource-ACE という名前の属性もあります。これは、そのリソースに対するアクセス権を指定するアクセス制御リスト (ACL) を含んだ多値属性です。(ACL 内の各エントリは、アクセス制御エントリまたは ACE と呼ばれます。)ACL の詳細については、「リソース アクセス制御リスト」のトピックで説明します。