Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Web Proxy Server 4.0.1 管理ガイド 

第 4 章
ユーザーとグループの管理

この章では、Proxy Server にアクセスするユーザーとグループを追加、削除、変更、および管理する方法について説明します。

この章では、次の項目について説明します。


ユーザーとグループに関する情報へのアクセス

管理サーバーを使用して、ユーザーアカウント、グループリスト、アクセス特権、組織単位、およびその他のユーザーやグループに固有の情報に関するアプリケーションデータにアクセスできます。

ユーザーとグループの情報は、テキスト形式のフラットファイル、または LDAP (Lightweight Directory Access Protocol) をサポートする Sun JavaTM System Directory Server などのディレクトリサーバーに格納されます。LDAP は、オープンディレクトリアクセスプロトコルで、TCP/IP (Transmission Control Protocol/Internet Protocol) 上で動作し、グローバルサイズに、また百万単位のエントリにまで拡張可能です。


ディレクトリサービスについて

ディレクトリサービスを使用すると、すべてのユーザー情報を 1 つのソースで管理できます。Proxy Server では、LDAP、鍵ファイル、およびダイジェストファイルの 3 種類のディレクトリサービスを設定できます。

ディレクトリサービスが設定されていない場合、最初に作成される新しいディレクトリサービスには、種類に関係なく default という値が設定されます。ディレクトリサービスを作成すると、ディレクトリサービスの詳細によって server_root/userdb/dbswitch.conf ファイルが更新されます。

この節では、次の内容について説明します。

LDAP ディレクトリサービス

LDAP ディレクトリサービスでは、ユーザーとグループの情報を LDAP ベースのディレクトリサーバーに格納します。

LDAP サービスがデフォルトサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==

LDAP サービスがデフォルト以外のサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==

鍵ファイルディレクトリサービス

鍵ファイルとは、ハッシュ形式のユーザーパスワード、およびそのユーザーが所属するグループのリストが含まれているテキストファイルです。鍵ファイル形式は、HTTP 基本認証の使用を目的としている場合にだけ使用できます。この認証方法については、「ユーザーとグループの指定」を参照してください。

鍵ファイルベースのデータベースを作成すると、dbswitch.conf ファイルが次の例のように更新されます。

directory keyfile file
keyfile:syntax keyfile
keyfile:keyfile D:
¥test22¥keyfile¥keyfiledb

ダイジェストファイルディレクトリサービス

ダイジェストファイルでは、ユーザーとグループの情報を、暗号化されたユーザー名とパスワードに基づいて格納します。

ダイジェストファイル形式は、HTTP ダイジェスト認証の使用をサポートすることを目的としていますが、基本認証もサポートしているため、どちらの認証方法でも使用できます。これらの方法については、「ユーザーとグループの指定」を参照してください。

ダイジェストベースのデータベースを作成すると、dbswitch.conf ファイルが次の例のように更新されます。

directory digest file
digest:syntax digest
digest:digestfile D:
¥test22¥digest¥digestdb


分散管理を設定するには、LDAP ベースのディレクトリサービスをデフォルトのディレクトリサービスにする必要があります。



ディレクトリサービスの設定

ディレクトリサービスは、管理サーバーの「Global Settings」タブで作成および設定します。その後、管理サーバーの「Users and Groups」タブで、ユーザー、グループ、および組織単位を作成および管理します。

この節では、次の内容について説明します。

ディレクトリサービスの作成

ディレクトリサービスを作成するには
  1. 管理サーバーにアクセスして、「Global Settings」タブをクリックします。
  2. 「Configure Directory Service」リンクをクリックします。
  3. 「Create New Service of Type」ドロップダウンリストから、作成するディレクトリサービスの種類を選択し、「New」をクリックします。そのディレクトリサービスの設定ページが表示されます。
  4. 設定情報を入力し、「Save Changes」をクリックします。特定のフィールドについては、オンラインヘルプを参照してください。


ディレクトリサービスが設定されていない場合、最初に作成される新しいディレクトリサービスには、種類に関係なく default という値が設定されます。


ディレクトリサービスの編集

ディレクトリサービスを編集するには
  1. 管理サーバーにアクセスして、「Global Settings」タブをクリックします。
  2. 「Configure Directory Service」リンクをクリックします。
  3. 編集するディレクトリサービスのリンクをクリックし、変更を行い、「Save Changes」をクリックします。特定のフィールドについては、オンラインヘルプを参照してください。


識別名 (DN) について

管理サーバーの「Users and Groups」タブを使用して、ユーザー、グループ、および組織単位を作成または変更します。ユーザーとは、企業の社員などのような、LDAP データベース内の個人を意味します。グループとは、同じ属性を共有する複数のユーザーを意味します。組織単位とは、organizationalUnit オブジェクトクラスを使用する組織内の区分を意味します。ユーザー、グループ、および組織単位については、この章の最後に詳しく説明します。

企業内のユーザーやグループは、それぞれ、識別名 (Distinguished Name、DN) 属性で表されます。DN 属性は、関連するユーザー、グループ、またはオブジェクトを識別する情報が含まれているテキスト文字列です。ユーザーやグループのディレクトリエントリを変更する場合は、必ず DN を使用します。たとえば、ディレクトリエントリの作成または変更、アクセス制御の設定、メールまたはパブリッシングなどのアプリケーション用のユーザーアカウントの設定を行う場合は、そのたびに DN 情報を指定する必要があります。Proxy Server の「Users and Groups」インタフェースを使用して、DN を作成または変更します。

次の例は、Sun Microsystems の社員の一般的な DN を表しています。

uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US

この例の略語には、それぞれ次のような意味があります。

DN には、さまざまな名前と値のペアを含めることができ、証明書の項目、および LDAP をサポートするディレクトリ内のエントリの両方を識別するために使用されます。


LDIF の使用

現在ディレクトリがない場合、または、既存のディレクトリに新規のサブツリーを追加する場合、ディレクトリサーバーの LDIF (Lightweight Directory Interchange Format) インポート機能を使用できます。この機能を使用すれば、LDIF を含むファイルを取り扱うことができ、ディレクトリを構築したり、LDIF エントリから新規のサブツリーを構築することが可能です。また、ディレクトリサーバーの LDIF エクスポート機能を使用して、現在のディレクトリを LDIF へエクスポートすることもできます。この機能は、該当するディレクトリを表す LDIF 形式のファイルを作成します。エントリは、ldapmodify コマンド行ユーティリティー (使用できる場合) を適切な LDIF 更新文とともに使用して追加または編集できます。

LDIF を使用してデータベースにエントリを追加するには、まず、LDIF ファイル内のエントリを定義し、次に、ディレクトリサーバーから LDIF ファイルをインポートします。


ユーザーの作成

管理サーバーの「Users and Groups」タブを使用して、ユーザーエントリを作成または変更します。ユーザーエントリには、データベース内の個人やオブジェクトに関する情報が含まれています。


ユーザーがリソースに不正にアクセスできないようにして、サーバーのセキュリティーを保護してください。Proxy Server では、ACL ベースの承認および認証モデルを使用します。ACL ベースのセキュリティーについては、「サーバーへのアクセス制御」を参照してください。その他のセキュリティー情報については、「証明書と鍵の使用」を参照してください。


この節では、次の内容について説明します。

LDAP ベース認証データベースのユーザーの作成

LDAP ベースのディレクトリサービスにユーザーエントリを追加すると、ユーザーの認証と承認に、基本となる LDAP ベースのディレクトリサーバーのサービスが使用されます。この項では、LDAP ベースの認証データベースを使用する場合に考慮する必要のあるガイドラインを示し、Proxy Server の管理サーバーからユーザーを追加する方法について説明します。

LDAP ベースのユーザーエントリ作成のガイドライン

Proxy Server の管理コンソールを使用して LDAP ベースのディレクトリサービスに新しいユーザーエントリを作成するときには、次のガイドラインを考慮してください。

LDAP ベースのユーザーエントリの作成

ユーザーエントリを作成するには、「LDAP ベースのユーザーエントリ作成のガイドライン」に記載されているガイドラインを読み、そのあとで次の手順を実行します。

LDAP ベースの認証データベースのユーザーを作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create User」リンクをクリックします。
  3. ドロップダウンリストから LDAP ディレクトリサービスを選択し、「Select」をクリックします。
  4. 表示されるページに情報を入力します。特定のフィールドについては、オンラインヘルプを参照してください。「ディレクトリサーバーのユーザーエントリ」も参照してください。
  5. 「Create」をクリックして、ユーザーエントリを作成します。または、「Create and Edit」をクリックして、ユーザーエントリを作成してから、作成したエントリの編集ページを開きます。

ディレクトリサーバーのユーザーエントリ

ディレクトリサーバーのユーザーエントリについて、次の点に注意してください。

鍵ファイル認証データベースのユーザーの作成

鍵ファイルは、ハッシュ形式のユーザーパスワード、およびそのユーザーが所属するグループのリストが含まれているテキストファイルです。

鍵ファイル認証データベースのユーザーを作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create User」リンクをクリックします。
  3. ドロップダウンリストから鍵ファイルベースのディレクトリサービスを選択し、「Select」をクリックします。
  4. 表示されるページに情報を入力し、「Create User」をクリックします。特定のフィールドについては、オンラインヘルプを参照してください。

ダイジェストファイル認証データベースのユーザーの作成

ダイジェストファイル認証データベースでは、ユーザーとグループの情報を暗号化された形式で格納します。

ダイジェストファイル認証データベースのユーザーを作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create User」リンクをクリックします。
  3. ドロップダウンリストからダイジェストファイルベースのディレクトリサービスを選択し、「Select」をクリックします。
  4. 表示されるページに情報を入力し、「Create User」をクリックします。特定のフィールドについては、オンラインヘルプを参照してください。

  5. Proxy Server ACL ユーザーインタフェースを使用してダイジェスト認証による ACL を作成するときは、同じレルム文字列を指定する必要があります。詳細は、「アクセス制御の設定」を参照してください。



ユーザーの管理

ユーザー属性は、管理サーバーの「Users and Groups」タブにある「Manage Users」ページを使用して編集します。このページを使用して、ユーザーエントリを検索、変更、名前変更、および削除できます。

この節では、次の内容について説明します。

ユーザー情報の検索

ユーザーエントリを編集する前に、次の手順に従ってエントリを検索し、表示する必要があります。

ユーザー情報を検索するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Users」リンクをクリックします。
  3. ドロップダウンリストからディレクトリサービスを選択し、「Select」をクリックします。鍵ファイルまたはダイジェストファイルディレクトリサービスの場合は、ユーザーのリストが表示されます。LDAP ベースのディレクトリサービスの場合は、検索フィールドが表示されます。
  4. ユーザー情報を検索します。
  5. 鍵ファイルまたはダイジェストファイルのディレクトリサービスの場合は、ユーザーのリンクをクリックし、編集ページを表示して変更を行います。特定のフィールドについては、オンラインヘルプを参照してください。

    LDAP ベースのディレクトリサービスの場合は、次の手順を実行します。

    1. 「Find User」フィールドに、編集するエントリを説明する値を入力します。次の任意の値を入力できます。
      • 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。該当するエントリがない場合は、検索文字列と類似したエントリが検索されます。
      • ユーザー ID。ユーザー ID の一部だけを入力すると、その文字列を含むすべてのエントリが返されます。
      • 電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
      • 電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
      • アスタリスク (*) を入力すると、現在ディレクトリにあるエントリがすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
      • 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
      • ほかの方法としては、「Find All Users Whose」セクションのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。詳細は、「カスタム検索クエリーの構築」を参照してください。

    2. 「Look Within」フィールドで、エントリの検索を行う組織単位を選択します。デフォルトは、ディレクトリのルートポイント (最上位のエントリ) です。
    3. 「Format」フィールドで、画面に表示またはプリンタに出力する際の出力フォーマットを指定します。
    4. この処理の任意の段階で、「Find」ボタンをクリックします。検索条件に一致するユーザーがすべて表示されます。
    5. 表示するエントリのリンクをクリックします。

カスタム検索クエリーの構築

LDAP サービスでは、「Find All Users Whose」セクションを使用して、カスタム検索フィルタを構築できます。これらのフィールドを使用して、「Find User」検索で返される検索結果を絞り込みます。

左のドロップダウンリストでは、検索の基準となる属性を指定します。次の表は、利用できる検索属性のオプションを示しています。

表 4-3 検索属性オプション

オプション

検索対象

Full name

各エントリのフルネーム

ラストネーム

各エントリのラストネーム (姓)

User ID

各エントリのユーザー ID

Phone number

各エントリの電話番号

E-mail address

各エントリの電子メールアドレス

中央のドロップダウンリストでは、実行する検索タイプを指定します。次の表は、利用できる検索タイプのオプションを示しています。

表 4-4 検索タイプのオプション

オプション

説明

内容

部分文字列検索を実行します。指定した検索文字列を含む属性値のエントリを返します。たとえば、ユーザー名におそらく「Dylan」が含まれているということがわかっている場合、このオプションを使用して、検索文字列に「Dylan」と入力し、ユーザーエントリを検索します。

Is

正確に一致するものを検索します (等価検索を指定)。正確なユーザーの属性値がわかっているときには、このオプションを使用します。たとえば、ユーザー名の正確なスペルがわかっている場合などです。

Isn't

属性値が検索文字列と完全一致ではないエントリをすべて返します。ユーザー名が「John Smith」ではない、ディレクトリ内のすべてのユーザーを検索する場合、このオプションを使用します。このオプションを使用すると返されるエントリ数が膨大になるため、注意が必要です。

Sounds like

近似検索、つまり表音の似た検索を実行します。属性の値はわかっているが、スペルが正確にはわからない場合に、このオプションを使用します。たとえば、ユーザー名のスペルが、「Sarret」、「Sarette」、または「Sarett」か不確かな場合などです。

Starts with

部分文字列検索を実行します。属性値が指定した検索文字列で始まるエントリをすべて返します。たとえば、ユーザー名が「Miles」で始まるのはわかっているが、名前の残りの部分がわからない場合には、このオプションを使用します。

Ends with

部分文字列検索を実行します。属性値が指定した検索文字列で終わるエントリをすべて返します。たとえば、ユーザー名が「Dimaggio」で終わるのはわかっているが、名前の残りの部分がわからない場合には、このオプションを使用します。

右のテキストフィールドを使用して、検索文字列を入力します。「Look Within」フィールドで指定したディレクトリのユーザーエントリをすべて表示するには、このフィールドにアスタリスク (*) を入力するか、または何も入力せずに検索します。

ユーザー情報の編集

ユーザーエントリを編集するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Users」リンクをクリックします。
  3. 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
  4. 必要に応じて設定を変更します。特定のフィールドについては、オンラインヘルプを参照してください。

  5. ユーザーの編集ページに表示されていない属性値を変更する場合があります。この場合、ディレクトリサーバーの ldapmodify コマンド行ユーティリティーが使用できる場合は、これを使用します。


ユーザー ID の変更については、「ユーザー名の変更」を参照してください。

ユーザーのパスワードの管理

次の手順では、ユーザーパスワードを変更または作成する方法について説明します。

ユーザーパスワードを変更または作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Users」リンクをクリックします。
  3. 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
  4. 必要に応じて設定を変更します。特定のフィールドについては、オンラインヘルプを参照してください。

LDAP データベースの場合、ユーザーのパスワードは、ユーザーパスワード情報の編集に使用するページ (「Manage Users」ページからアクセス) の「Disable Password」ボタンをクリックして無効にすることができます。こうすることで、そのユーザーのディレクトリエントリを削除しなくても、そのユーザーがサーバーへログインできなくすることができます。このユーザーに再度アクセスを許可するには、新しいパスワードを入力します。

ユーザー名の変更

LDAP データベースでは、名前の変更機能は、ユーザー ID だけを変更します。ほかのフィールドは変更されません。名前の変更機能を使用して、エントリをある組織単位から別の組織単位に移動することはできません。

ユーザーエントリの名前を変更するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Users」リンクをクリックします。
  3. 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
  4. ユーザーの編集ページの「Rename User」ボタンをクリックし、表示されるページにユーザー ID を入力して、「Save Changes」をクリックします。


エントリ名を変更するときに keepOldValueWhenRenaming パラメータを false (デフォルト) に設定すれば、古い値を今後保持しないよう管理サーバーに指示できます。このパラメータは、次のファイルにあります。

server_root/proxy-admserv/config/dsgw-orgperson.conf


ユーザーの削除

ユーザーエントリを削除するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Users」リンクをクリックします。
  3. 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
  4. 「Delete User」(LDAP の場合) または「Remove User」(鍵ファイルとダイジェストファイルの場合) をクリックします。


グループの作成

グループとは、LDAP データベースにおいてオブジェクトのセットを表現するオブジェクトです。Sun Java System サーバーグループは、共通する属性を共有する複数のユーザーで構成されています。たとえば、会社のマーケティング部門で働く多数の従業員がオブジェクトのセットになります。この従業員たちは、「Marketing」というグループに属します。

LDAP サービスでは、グループのメンバーシップを定義するには、静的な方法 (スタティック) と動的な方法 (ダイナミック) の 2 つがあります。スタティックグループは、メンバーオブジェクトを明示的に列挙します。スタティックグループは 共通名 (Common Name、CN) であり、uniqueMembersmemberURLsmemberCertDescriptions のいずれかまたはそのすべてが含まれます。スタティックグループでは、メンバーは、cn=groupname 属性以外の共通属性は共有しません。

ダイナミックグループでは、LDAP URL を使用してグループメンバーにだけ一致する規則セットを定義できます。ダイナミックグループでは、メンバーは共通属性、または memberURL フィルタに定義される属性セットを共有します。たとえば、販売のすべての従業員を含むグループが必要で、全員がすでに ou=Sales,o=Airius.com の下の LDAP データベースに含まれている場合は、次のメンバー URL を使用してダイナミックグループを定義します。

ldap:///ou=Sales,o=sun??sub?(uid=*)

このグループは、ou=Sales,o=sun ポイントの下のツリーで、uid 属性を持つすべてのオブジェクト、つまりすべての Sales メンバーを持つことになります。

スタティックおよびダイナミックグループで、memberCertDescription を使用している場合は、メンバーは証明書から共通属性を共有できます。ただし、これは、ACL が SSL メソッドを使用している場合にだけ当てはまります。

新規グループを作成したら、このグループにユーザー (メンバー) を追加することができます。

この節では、次の内容について説明します。

スタティックグループについて

LDAP サービスでは、管理サーバーを使用し、任意のユーザー数の DN に同じグループ属性を指定して、スタティックグループを作成できます。スタティックグループは、ユーザーをグループに追加したり、グループから削除しないかぎり、変更されることはありません。

スタティックグループ作成のガイドライン

新規のスタティックグループを作成するために管理サーバーのインタフェースを使用するときには、次のガイドラインを考慮してください。

スタティックグループの作成

スタティックグループを作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create Group」リンクをクリックします。
  3. 「Type of Group」ドロップダウンリストから「New Group」を選択し、「Go」をクリックします。
  4. 「Create Group」ページに情報を入力します。特定のフィールドについては、オンラインヘルプを参照してください。
  5. 「Create」をクリックして、グループを作成します。または、「Create and Edit」をクリックして、グループを作成してから、作成したグループの編集ページを開きます。

ダイナミックグループについて

LDAP サービスの場合、Proxy Server では、任意の属性に基づいてユーザーを自動的にグループ化する場合、または一致する DN を含む特定のグループに ACL を適用する場合に、ダイナミックグループを作成できます。たとえば、department=marketing という属性を持つ任意の DN を自動的に含めるグループを作成することができます。department=marketing に検索フィルタを適用すると、検索結果は、department=marketing 属性を含むすべての DN からなるグループを返します。次に、このフィルタに基づいて検索結果からダイナミックグループを定義できます。さらに、結果として生成されるダイナミックグループの ACL を定義できます。

ダイナミックグループの実装方法

Proxy Server は、ダイナミックグループを objectclass=groupOfURLs として LDAP サーバースキーマ内に実装します。groupOfURLs クラスは、0 個以上の memberURL 属性を持つことができます。各属性はディレクトリ内のオブジェクトセットを記述する LDAP URL で構成されます。グループのメンバーは、これらのセットの組み合わせです。たとえば、次のグループには 1 つのメンバー URL だけが含まれます。

ldap:///o=mcom.com??sub?(department=marketing)

この例は、部署名が marketing である o=mcom.com の下のすべてのオブジェクトで構成されるセットを示しています。LDAP URL には、検索ベース DN、スコープ、およびフィルタを含むことができますが、ホスト名とポートを含むことはできません。つまり、同じ LDAP サーバー上のオブジェクトだけを参照できます。すべてのスコープがサポートされます。LDAP URL については、「ダイナミックグループ作成のガイドライン」を参照してください。

グループに DN を個別に追加しなくても、すべての DN が自動的に組み込まれます。Proxy Server は ACL 検証でグループ検索が必要になるたびに LDAP サーバー検索を行うため、グループは動的に変化します。ACL ファイルで使用されるユーザー名とグループ名は、LDAP データベース内のオブジェクトの cn 属性に対応します。


Proxy Server は cn 属性を ACL のグループ名として使用します。


ACL から LDAP データベースへのマッピングは、dbswitch.conf ファイル (ACL データベース名と実際の LDAP データベース URL を関連付ける) と ACL ファイル (どの ACL でどのデータベースが使用されるかを定義する) の両方に定義されます。たとえば、staff というグループのメンバーシップに基本アクセス権を設定する場合、ACL コードは groupOfanything というオブジェクトクラスを持ち、CN が staff に設定されているオブジェクトを検索します。オブジェクトは、メンバー DN を明示的に列挙するか (スタティックグループの groupOfUniqueNames と同様)、または LDAP URL を指定することによって (たとえば groupOfURLs)、グループのメンバーを定義します。


グループはスタティックおよびダイナミックの両方にすることができます。グループオブジェクトには、objectclass=groupOfUniqueMembers および objectclass=groupOfURLs の両方を設定することができます。そのため、uniqueMember および memberURL の両方の属性が有効になります。グループのメンバーシップには、スタティックなメンバーとダイナミックなメンバーが混在します。


ダイナミックグループがサーバーパフォーマンスに与える影響

ダイナミックグループを使用すると、サーバーパフォーマンスに影響を与えます。グループメンバーシップをテストするときに、DN がスタティックグループのメンバーではない場合、Proxy Server はデータベースのベース DN に含まれるすべてのダイナミックグループをチェックします。Proxy Server は、ベース DN とスコープをユーザーの DN と比較して各 memberURL が一致するかどうかを識別し、次にユーザー DN をベース DN とし、memberURL のフィルタを使用してベース検索を実行します。この処理では、膨大な数の検索が行われることがあります。

ダイナミックグループ作成のガイドライン

新規のダイナミックグループを作成するために管理サーバーのインタフェースを使用するときには、次のガイドラインを考慮してください。

ダイナミックグループ作成のガイドラインの続き:

ダイナミックグループの作成

ダイナミックグループを作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create Group」リンクをクリックします。
  3. 「Type of Group」ドロップダウンリストから「Dynamic Group」を選択し、「Go」をクリックします。
  4. 「Create Group」ページに情報を入力します。特定のフィールドについては、オンラインヘルプを参照してください。
  5. 「Create」をクリックして、グループを作成します。または、「Create and Edit」をクリックして、グループを作成してから、作成したグループの編集ページを開きます。


グループの管理

LDAP サービスでは、管理サーバーを使用して、管理サーバーの「Users and Groups」タブの「Manage Groups」ページからグループを編集したり、グループのメンバーシップを管理したりできます。

この節では、次の内容について説明します。

グループエントリの検索

グループエントリを編集する前に、次の手順に従ってエントリを検索し、表示する必要があります。

グループエントリを検索するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックします。
  3. 検索するグループ名を「Find Group」フィールドに入力します。次の任意の値を入力できます。
    • 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。該当するエントリがない場合は、検索文字列と類似したエントリが検索されます。
    • アスタリスク (*) を入力すると、現在ディレクトリにあるグループがすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
    • 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
    • ほかの方法としては、「Find All Groups Whose」セクションを使用して、カスタム検索フィルタを構築し、検索結果を絞り込む方法もあります。詳細は、「「Find All Groups Whose」セクション」を参照してください。

  4. 「Look Within」フィールドで、エントリの検索を行う組織単位を選択します。デフォルトは、ディレクトリのルートポイント (最上位のエントリ) です。
  5. 「Format」フィールドで、画面に表示またはプリンタに出力する際の出力フォーマットを指定します。
  6. この処理の任意の段階で、「Find」ボタンをクリックします。検索条件に一致するグループがすべて表示されます。
  7. 表示するエントリのリンクをクリックします。

「Find All Groups Whose」セクション

LDAP サービスでは、「Find All Groups Whose」セクションを使用して、カスタム検索フィルタを構築できます。このセクション内のフィールドを使用して、「Find Group」で返される検索結果を絞り込みます。

左のドロップダウンリストでは、検索の基準となる属性を指定します。次のオプションが利用できます。

中央のドロップダウンリストでは、実行する検索タイプを指定します。次のオプションが利用できます。

右のテキストフィールドに、検索文字列を入力します。「Look Within」ディレクトリのグループエントリをすべて表示するには、このフィールドにアスタリスク (*) を入力するか、または何も入力せずに検索します。

グループエントリの編集

グループエントリを編集するには

この手順は、LDAP サービスにのみ該当します。

  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックします。
  3. 「グループエントリの検索」の説明に従って、編集するグループを特定します。
  4. 必要に応じて設定を変更します。特定のフィールドとボタンについては、オンラインヘルプを参照してください。


グループの編集ページで表示されていない属性値を変更する場合があります。この場合、ディレクトリサーバーの ldapmodify コマンド行ユーティリティーが使用できる場合は、これを使用します。


グループメンバーの追加

グループにメンバーを追加するには

この手順は、LDAP サービスにのみ該当します。

  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックします。
  3. 「グループエントリの検索」の説明に従って、管理するグループを特定して表示し、「Group Members」の横の「Edit」ボタンをクリックします。表示されるページに、既存のグループメンバーが示されます。検索フィールドも表示されます。
    • メンバーのリストにユーザーエントリを追加する場合、「Users」が「Find」ドロップダウンリストで選択されている必要があります。
    • グループにグループエントリを追加する場合、「Groups」が選択されている必要があります。
  4. 「Matching」テキストフィールドに、検索文字列を入力します。次のオプションのうち、いずれかを入力します。
    • 名前。フルネーム、または名前の一部を入力します。検索文字列と名前が一致するすべてのエントリが返されます。該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。該当するエントリがない場合は、検索文字列と類似したエントリが検索されます。
    • ユーザー ID。ユーザー ID の一部だけを入力すると、その文字列を含むすべてのエントリが返されます。
    • 電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
    • 電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
    • 現在ディレクトリ内にあるエントリまたはグループをすべて表示するには、このフィールドにアスタリスク (*) を入力するか、または何も入力せずに検索します。
    • 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
  5. 「Add」をクリックして、LDAP データベースで一致するすべてのエントリを検索し、グループにこのエントリを追加します。グループに追加する必要のないエントリが返された場合は、「Remove From List」列の対応するチェックボックスをクリックします。また、グループから削除するエントリに一致する検索フィルタを作成して、「Remove」をクリックすることもできます。詳細は、「グループメンバーリストからのエントリの削除」を参照してください。
  6. グループメンバーのリストが完成したら、「Save Changes」をクリックします。エントリがグループメンバーリストに追加されます。

グループメンバーリストへのグループの追加

LDAP サービスでは、グループのメンバーリストに、個別のメンバーの代わりにグループを追加できます。グループを追加すると、追加されたグループに属するユーザーは、追加先のグループのメンバーになります。たとえば、Neil Armstrong が「Engineering Managers」グループのメンバーであり、この「Engineering Managers」グループを「Engineering Personnel」グループのメンバーにする場合、Neil Armstrong は、「Engineering Personnel」グループのメンバーにもなります。

グループを別のグループのメンバーリストへ追加するには、ユーザーエントリと同様に、グループを追加します。詳細は、「グループメンバーの追加」を参照してください。

グループメンバーリストからのエントリの削除

この手順は、LDAP サービスにのみ該当します。

グループメンバーリストからエントリを削除するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックします。
  3. 「グループエントリの検索」の説明に従って、管理するグループを特定し、「Group Members.」の横の「Edit」ボタンをクリックします。
  4. リストから削除する各メンバーについて、「Remove From List」列の対応するチェックボックスをクリックします。また、グループから削除するエントリに一致する検索フィルタを作成して、「Remove」をクリックすることもできます。検索フィルタの作成については、「グループメンバーの追加」を参照してください。
  5. 「Save Changes」をクリックします。エントリが、グループメンバーリストから削除されます。

所有者の管理

LDAP サービスの場合、グループの所有者リストは、グループメンバーリストと同様の方法で管理します。

次の表は、このマニュアルでより詳細に説明しているトピックを示しています。

表 4-6 所有者の管理

タスク

参照

グループに所有者を追加する

「グループメンバーの追加」

所有者リストにグループを追加する

「グループメンバーリストへのグループの追加」

所有者リストからエントリを削除する

「グループメンバーリストからのエントリの削除」

See Alsos の管理

See Alsos は、現在のグループに関連のある、ほかのディレクトリのエントリへの参照です。See Alsos を使用して、現在のグループと関連のあるユーザーやほかのグループのエントリを簡単に見つけることができます。See Alsos は、グループメンバーリストと同様の方法で管理します。

次の表は、このマニュアルでより詳細に説明しているトピックを示しています。

表 4-7 See Alsos の管理

タスク

参照

See Alsos にユーザーを追加する

「グループメンバーの追加」

See Alsos にグループを追加する

「グループメンバーリストへのグループの追加」

See Alsos からエントリを削除する

「グループメンバーリストからのエントリの削除」

グループ名の変更

この手順は、LDAP サービスにのみ該当します。グループエントリの名前を変更する場合は、グループの名前だけが変更されます。グループ名の変更機能を使用して、エントリをある組織単位から別の組織単位に移動することはできません。たとえば、ある企業には次のような組織があるとします。

この例では、Online Sales というグループ名を Internet Investments に変更することはできますが、Marketing という組織単位の下の Online Sales を、Product Management という組織単位の下の Online Sales にするようエントリの名前を変えることはできません。

グループ名を変更するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックして、「グループエントリの検索」の説明に従って、変更するグループを特定します。
  3. 「Rename Group」ボタンをクリックし、表示されるページに新しいグループ名を入力して、「Save Changes」をクリックします。

グループの削除

この手順は、LDAP サービスにのみ該当します。

グループを削除するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Groups」リンクをクリックします。
  3. 「グループエントリの検索」の説明に従って、管理するグループを特定し、「Delete Group」をクリックします。

  4. グループに属する個々のメンバーは削除されません。グループエントリだけが削除されます。



組織単位の作成

LDAP サービスでは、組織単位には、複数のグループを含めることができ、それらは通常、部門、課などのエンティティーを表します。DN は、複数の組織単位に存在させることができます。

組織単位を作成するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Create Organizational Unit」リンクをクリックします。
  3. 情報を入力し、「Create」をクリックします。特定のフィールドについては、オンラインヘルプを参照してください。

組織単位についての注意:

たとえば、Accounting という新規の組織を、組織単位 West Coast 内に作成する場合、ベース DN が o=Ace Industryc=US とすると、新規の組織単位の DN は、次のようになります。

ou=Accounting,ou=West Coast,o=Ace Industry,c=US


組織単位の管理

LDAP サービスの場合、組織単位は、管理サーバーの「Users and Groups」タブにある「Manage Organizational Units」ページを使用して編集および管理します。

この節では、次の内容について説明します。

組織単位の検索

この手順は、LDAP サービスにのみ該当します。

組織単位を検索するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Organizational Units」リンクをクリックします。
  3. 検索する組織単位の名前を「Find Organizational Unit」フィールドに入力します。次の任意の値を入力できます。
    • 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。該当するエントリがない場合は、検索文字列と類似したエントリが検索されます。
    • アスタリスク (*) を入力すると、現在ディレクトリにあるグループがすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
    • 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
    • ほかの方法としては、「Find All Units Whose」セクションのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。詳細は、「「次の条件に一致するすべての単位を検索」セクション」を参照してください。

  4. 「Look Within」フィールドで、エントリの検索を行う組織単位を選択します。デフォルトは、ディレクトリのルートポイント (最上位のエントリ) です。
  5. 「Format」フィールドで、画面に表示またはプリンタに出力する際の出力フォーマットを指定します。
  6. この処理の任意の段階で、「Find」ボタンをクリックします。検索条件に一致する組織単位がすべて表示されます。
  7. 表示するエントリのリンクをクリックします。

「次の条件に一致するすべての単位を検索」セクション

LDAP サービスでは、「Find All Units Whose」セクションを使用して、カスタム検索フィルタを構築できます。このセクション内のフィールドを使用して、「Find Organizational Unit」で返される検索結果を絞り込みます。

左のドロップダウンリストでは、検索の基準となる属性を指定します。次のオプションが利用できます。

中央のドロップダウンリストでは、実行する検索タイプを指定します。次のオプションが利用できます。

右のテキストフィールドに、検索文字列を入力します。「Look Within」ディレクトリの組織単位エントリをすべて表示するには、このフィールドにアスタリスク (*) を入力するか、または何も入力せずに検索します。

組織単位の属性の編集

この手順は、LDAP サービスにのみ該当します。

組織単位エントリを編集するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Organizational Units」リンクをクリックします。
  3. 「組織単位の検索」の説明に従って、編集する組織単位を特定します。
  4. 必要に応じて設定を変更します。特定のフィールドについては、オンラインヘルプを参照してください。

  5. 組織単位の編集ページで表示されていない属性値を変更する場合があります。この場合、ディレクトリサーバーの ldapmodify コマンド行ユーティリティーが使用できる場合は、これを使用します。


組織単位名の変更

この手順は、LDAP サービスにのみ該当します。組織単位エントリの名前を変更する場合は、組織単位の名前だけが変更されます。名前の変更機能を使用して、エントリをある組織単位から別の組織単位に移動することはできません。

組織単位エントリの名前を変更するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Organizational Units」リンクをクリックします。
  3. 「組織単位の検索」の説明に従って、編集する組織単位を特定します。
  4. 「Rename」ボタンをクリックし、表示されるページに新しい組織単位名を入力して、「Save Changes」をクリックします。

組織単位の削除

この手順は、LDAP サービスにのみ該当します。

組織単位エントリを削除するには
  1. 管理サーバーにアクセスして、「Users and Groups」タブをクリックします。
  2. 「Manage Organizational Units」リンクをクリックします。
  3. 「組織単位の検索」の説明に従って、削除する組織単位を特定します。
  4. 「Delete」ボタンをクリックし、表示される確認ボックスで、「了解」をクリックします。


前へ      目次      索引      次へ     


Part No: 819-3160.   Copyright 2005 Sun Microsystems, Inc. All rights reserved.