LDAP フィルタクエリ - 動的グループクエリのパラメータを定義します。

CA Access Control エンタープライズ管理を使用して LDAP フィルタクエリを定義して、動的グループを作成し、実行時のグループメンバシップを決定できます。

フィルタクエリは、以下の形式で指定します。

LDAP:///search_base_DN??search_scope?searchfilter

search_base_DN

LDAP ディレクトリ内の検索開始ポイントを指定します。クエリにベース DN を指定しない場合は、グループの組織がデフォルトのベース DN となります。

search_scope

検索範囲を指定します。以下の値を使用できます。

one または base を使用すると、ベース DN 組織内のユーザのみが取得されます。

sub を使用すると、ベース DN 組織と、ツリー内のすべての下位組織にある全ユーザが取得されます。

searchfilter

検索範囲内のエントリに適用するフィルタを指定します。検索フィルタの入力時には、以下のような標準の LDAP クエリ構文を使用します。

([logical_operator]Comparison)

logical operator

論理演算子を定義します。以下のいずれかです。

Comparison

AttributeOperatorValue を定義します。

Attribute - LDAP 属性の名前を定義します。
Operator - 比較演算子を指定します。以下のいずれかになります。 = （等しい）、<= （小さいまたは等しい）、>= （大きいまたは等しい）、または ~= （ほぼ等しい）。
Value - 属性データの値を定義します。
例： (&(city=Boston)(state=Massachusetts))

デフォルト： (objectclass=*)

動的クエリを作成する場合、以下の点に注意が必要です。

「LDAP」プレフィックスは小文字である必要があります。以下に例を示します。
```
ldap:///o=MyCorporation??sub?(title=Manger)
```
LDAP サーバホスト名またはポート番号は指定できません。検索はすべて、ユーザの環境で設定した LDAP ディレクトリ内で行われます。

例： LDAP クエリのサンプル

以下に、LDAP クエリの例を示します。

説明	クエリ
マネージャになっているユーザ全員	ldap:///o=MyCorporation??sub?(title=Manger)
ニューヨーク西支店のマネージャ全員	ldap:///o=MyCorporation??one?(&(title=Manager) (office=NYWest))
携帯電話を持っている技術者全員	ldap:///o=MyCorporation??one? (&(employeetype=technician) (mobile=*))
従業員番号が 1000 から 2000 までのすべての従業員	ldap:///o=MyCorporation, (& (ou=employee) (employeenumber >=1000) (employeenumber <=2000))
雇用期間が 6 か月を超えるヘルプデスク管理者全員	ldap:///o=MyCorporation,(& (cn=helpdeskadmin) (DOH => 2004/04/22) 注：このクエリの場合、ユーザの雇用日を示す DOH 属性を作成する必要があります。

注：「> 」（より大きい）と「<」（より小さい）による比較は、算術式ではなく辞書式です。これらの使用法の詳細については、LDAP ディレクトリサーバのマニュアルを参照してください。