アプリケーションの処理中および Directory Server の実行中に、Enterprise Server はセキュリティ クエリを外部セキュリティ機能 (ESF) に送信し、ユーザーまたはシステムのアクションが承認されていることを確認します。ESF
は適切な API 呼び出しを生成し、構成されている各セキュリティ マネージャーに順番に要求を転送します。
最も一般的なセキュリティ クエリは次のとおりです。
- ユーザーのサインオン時などに、ユーザーの資格情報を認証する。
- ユーザーが特定のリソースで特定のタスクを実行するための適切な承認を持っていることを確認する
検証クエリが成功すると、セキュリティ コンテキスト (セッション ログオンなど) が確立され、その中で後続の操作が実行されます。ユーザーまたはアプリケーションがこのコンテキスト外で後続の操作を実行すると、適切な承認を持っているかどうかを確認するために改めて承認呼び出しが行われます。
外部セキュリティ機能で使用される承認クエリには、次の 2 種類があります。
- 1 つ目は、MSS アプリケーション要求を処理する際に Enterprise Server が使用するクエリです。メインフレーム形式の権限を実装します。この方法の場合、ユーザーはすべての「下位」権限を含む権限レベル (たとえば、書き込みアクセス権限は暗黙的に読み取りアクセス権限なども含む)
を付与されます。
- 2 つ目のクエリは、現在、MF Directory Server によってのみ使用されます。これは、より現代的な随意アクセス制御 (DAC) を実装します。この方法の場合、権限は互いに独立しています。たとえば、ユーザーが、あるリソースへの書き込みアクセス権限は持つが、読み取りアクセス権限は持たないという設定が可能です。
注: MSS 処理中のセキュリティ クエリの発行は、可能な限り、IBM メインフレーム プラットフォーム上の動作をエミュレートするように作られています。これらのセキュリティ クエリの詳細については、メインフレームのドキュメントを参照してください。