ACE でユーザーまたはグループを参照できます。正確な名前またはワイルドカードを含むパターンを指定できます。アクセス レベルまたはアクセス許可のセットを許可したり拒否したりできます。
このような柔軟性ゆえ、要求されたアクセスを許可するかどうか (または、権限クエリに対しユーザーがどのような有効なアクセス権限を持っているか、など) の判定に MLDAP モジュールが使用する定義ルールの中に、たとえ ACL が 1 つしか含まれていない場合でも、ACE で矛盾が生じることがあります。このモジュールは次のルールに従って、アクセス権を判定します。
- 高い順位の ACE が低い順位の ACE をオーバーライドします。
- MLDAP ESM Module バージョン 2 では、ユーザー名またはグループ名内の何文字が ACE アクター名内でワイルドカードに置換されているかによって ACE ランキングが決まります。Bob というユーザーの場合、BOB を参照する ACE は、単に*を指定している ACE より上位の B* を参照する ACE よりも上位となります。
- MLDAP ESM Module バージョン 1 またはバージョン 2 で互換性ルールの照合を有効にしている場合、照合順序アルゴリズムを使用して ACE の順位が決定されます。
- 順位が同じ場合、ユーザー ACE がグループ ACE をオーバーライドします。
- 同一アクター (ユーザーまたはグループ) の同一順位の ACE の場合、deny ACE が allow ACE をオーバーライドします。
- MTO リソースの場合:
- 同一順位およびアクターの allow ACE の場合、指定されている最も高いアクセス レベルが適用されます。
- 同一順位およびアクターの deny ACE の場合、指定されている最も低いアクセス レベルが適用されます (上位レベルは暗黙的に下位のレベルも含んでいるため、たとえば read アクセスを拒否する場合は、update アクセスも拒否する必要があるためです)。
- MFDS リソースの場合:
- 同一順位およびアクターの Allow ACE は統合されます (結合の設定)。
- 同一順位およびアクターの Deny ACE は統合されます。