デフォルトでは、ES は MFReader アカウントを使用して LDAP サーバーに接続します。その名前が示すように、MFReader にはリポジトリを変更する権限はなく、リポジトリからの読み取りのみ可能です。
必要に応じ、異なる LDAP ユーザー資格情報 (承認済み ID およびパスワード) を使用して MFDS で MLDAP セキュリティ マネージャーを構成して、リポジトリの一部または全体に対する更新アクセス権を付与できます。管理ユーザーの資格情報を使用して構成することも、新しい LDAP ユーザーを作成し (「ADSIEdit を使用したリポジトリ オブジェクトの追加」を参照してください)、LDAP リポジトリに ACL を設定して (ADSIEdit またはその他の Microsoft ツールを使用)、リポジトリの特定部分への書き込みアクセス権をそのユーザーに付与することもできます。
たとえば、「MFUpdate」という名前の AD LDS ユーザーを作成した場合、次のように、dsacls.exe AD LDS ユーティリティを使用して ACL を設定することで、ユーザー オブジェクトへの書き込みアクセス権をこのユーザーに付与できます。
dsacls "\\localhost\CN=Enterprise Server Users,CN=Micro Focus,CN=Program Data,DC=local" /I:S /G "CN=MFUpdate,CN=ADAM Users,CN=Micro Focus,CN=Program Data,DC=local":WP
このコマンド全体を 1 行に入力してください。
MFReader LDAP ユーザーについては、名前およびパスワードが広く知られているため、リポジトリへの書き込みアクセス権を付与しないでください。代わりに別のアカウントを使用するようにセキュリティ マネージャーを構成し、そのアカウントのパスワードが知られないように注意してください(特権を持たないユーザーが MFDS が実行されているシステムにアクセスできる場合は、MFDS 構成ファイルに ACL を設定して、MFDS の実行に使用されるアカウント (通常は SERVICE) でしか読み取れないようにすることをお勧めします)。
ユーザー オブジェクトへの更新アクセス権を持つ MLDAP セキュリティ マネージャーを使用するように ES/MSS リージョンが構成されている場合、対話型の MSS ユーザーは、システムにサインオンする際にパスワードを設定できます (CESN トランザクション、または EXEC CICS SIGNON インターフェイスを呼び出す別のプログラムを使用)。これは、パスワードの有効期限属性 (microfocus-MFDS-User-Pwd-ExpirationDate) を使用してパスワードの定期的な変更をユーザーに強制する場合に、その実現方法として特に役立ちます(MLDAP ESM モジュールには、現在、有効期限を自動的に設定する方法はないため、他のツールを使用して行う必要があります)。
LDAP リポジトリ内のさまざまな ES オブジェクトへの更新アクセス権を持つ MLDAP セキュリティ マネージャーを使用するように MFDS が構成されている場合は、MFDS を使用してそれらのオブジェクトを管理できます。MFDS 管理 GUI の [Security] ページから、[Security Managers] タブに移動し、LDAP に対して定義したセキュリティ マネージャーを編集して、[Properties] ボタンをクリックします。そのウィンドウから、ユーザー、グループ、リソース アクセス制御を表示および編集できます。