[user exit] allow dangling ACE removal=boolean allow multiple ACEs=boolean allow redundant membership=boolean deny if dangling references=boolean tracing=trace-setting
セクション名 (user exit) とオプション名は大文字小文字が区別されません。オプションは任意の順序で指定できます。ワイルドカードは無視されます。コメントは # のプレフィックス付きで表されます。
boolean 値は、false の場合は 0、no (または n)、または false (または f) です。true の場合は 1、y、yes、t、または true です。値の大文字小文字は区別されません。
次に trace-setting 値の構文を説明します。
参照整合性ユーザー出口モジュールの詳細については、「参照整合性ユーザー出口のサンプル」を参照してください。
構成項目はすべて任意です。Boolean オプションのデフォルト値は false で、トレースはデフォルトで無効です。
このオプションが有効の場合、管理者がリソース アクセス ルールからアクセス制御エントリ (ACE) を削除する際、その ACE が存在しないユーザーやグループを参照している場合でも、ACE は削除されます。デフォルトの制約セットでは、これは許可されません。
このオプションが有効の場合、同じアクター (ユーザーまたはグループ) の ACE がすでに リソース アクセス ルールに含まれている場合でも、管理者はその ACE をルールに追加できます。アクターのすべての権限は 1 つの ACE で表現できるため、このオプションは厳密には必要ありませんが、場合によっては便利なことがあります。デフォルトの制約セットでは、これは許可されません (1 つのルールに定義できる特定のアクターの ACE は 1 つのみ)。
このオプションが有効になっている場合、管理者はユーザーのデフォルト グループになっているグループにもユーザーを追加できます。これは、ユーザーのデフォルト グループが変更されることがない限り、ユーザーのグループ メンバーシップに影響しません。管理者によっては、グループを一覧表示したときにすべてのメンバーが表示されるよう、ユーザーをデフォルト グループの明示的なメンバーにすることがあります。デフォルトの制約セットでは、このような重複するメンバーシップは許可されません。
通常の処理時には、そのユーザーをメンバーにしているグループがすでに存在する場合や、そのユーザーを参照する ACE を含むリソース ルールが存在する場合でも、そのユーザーの追加が許可されます。同様に、グループが一部のユーザーのデフォルト グループになっている場合でも、そのグループを追加できます。参照整合性出口では、通常このようなダングリング参照を作成しないようにしますが、LDAP インポート操作など、セキュリティ リポジトリ データの管理目的で避けられないことがあります。このオプションを有効にすると追加の制約が有効になり、他から参照されているユーザーやグループを追加できなくなります。
trace-setting 値には負ではない整数を設定できます。0 でトレースが無効になり、正の値はトレースを有効にします。基本的には指定した値の大きさに比例してトレース メッセージの量が増えますが、現在のバージョンの出口ではレベル 1 ですべてのメッセージが出力されます。キーワード yes (または y) でも、トレースが最高レベルになります。その他の値は、これを無効にします。
トレースは情報 ESF メッセージの形式で、リージョン コンソール ログ (ES リージョンの場合)、ジャーナル (MFDS の場合)、またはその他の ESF メッセージと同じように標準エラー (esfadmin) として書き込まれます。