データストアは、ユーザー属性およびユーザー設定データを格納できるデータベースです。
Access Manager は、アイデンティティーリポジトリフレームワークに接続するアイデンティティーリポジトリプラグインを提供します。この新しいモデルにより、既存のユーザーデータベースに変更を加える必要なしに、Access Manager ユーザー情報を表示および取得できます。Access Manager フレームワークは、アイデンティティーリポジトリプラグインからのデータをほかの Access Manager プラグインからのデータと統合し、各ユーザーの仮想アイデンティティーを形成します。Access Manager はその後、複数のアイデンティティーリポジトリ間で、認証と承認のプロセスにユニバーサルアイデンティティーを使用できます。仮想ユーザーアイデンティティーは、ユーザーのセッション終了時に破棄されます。
Access Manager をレルムモードと旧バージョンモードの両方でインストールするときに、任意の一般 LDAPv3 リポジトリの新しいデータストアインスタンスを作成できます。次の場合に LDAPv3 リポジトリタイプを選択することをお勧めします。
ロール、サービスのクラス (CoS)、および以前のバージョンの Access Manager との互換性が必要でない場合。
既存のディレクトリを使用する場合。
Sun Java System Directory Server 以外のディレクトリサーバーをアイデンティティーリポジトリに使用する場合。
Access Manager からアイデンティティーリポジトリに書き込まない場合。
平坦なディレクトリ情報ツリー (DIT) を使用する場合。
次の節では、一般的な LDAPv3 データストアを接続する手順について説明します。
「データストア」タブをクリックします。
「データストア」リストから「新規」をクリックします。
データストアの名前を入力します。
LDAPv3 リポジトリプラグインの属性を定義します。
「終了」をクリックします。
LDAPv3 リポジトリプラグインを設定するために、次の属性を使用できます。
接続先 LDAP サーバーの名前を入力します。「ホスト名.ドメイン名:ポート番号」の形式を使用することをお勧めします。
複数の「ホスト:ポート番号」エントリが入力された場合、リスト内の最初のホストへの接続が試みられます。リスト内の次のエントリは、現在のホストへの接続試行が失敗した場合にのみ試行されます。
現在接続している LDAP サーバーに対して認証を行うために Access Manager が使用する DN 名を指定します。バインドに使用される DN 名を持つユーザーには、「LDAPv3 でサポートされるタイプおよび操作」属性で設定した、正しい追加/変更/削除権限を付与することをお勧めします。
現在接続している LDAP サーバーに対して認証を行うために Access Manager が使用する DN パスワードを指定します。
パスワードを確認します。
このデータストアリポジトリのマッピング先となる DN。これは、このデータストア内で実行されるすべての操作のベース DN となります。
有効にすると、Access Manager は HTTPS プロトコルを使用してプライマリサーバーに接続します。
接続プール内の接続の初期数を指定します。接続プールを利用すると、新しい接続を毎回作成する必要がなくなります。
許容される接続数の上限を指定します。
検索操作で返されるエントリ数の上限を指定します。この制限に達すると、Directory Server は検索要求に一致するあらゆるエントリを返します。
検索要求に割り当てられる最大の秒数を指定します。この制限に達すると、Directory Server は検索要求に一致するあらゆる検索エントリを返します。
このオプションを有効にすると、ある LDAP サーバーからの別の LDAP サーバーに対する参照が自動的に実行されます。
LDAPv3 リポジトリを実装するクラスファイルの場所を指定します。
フレームワークが認識する共通属性をネイティブデータストアにマップできるようにします。たとえば、フレームワークがユーザー状態の判定に inetUserStatus を使用する場合に、ネイティブデータストアが実際には userStatus を使用することが可能です。属性定義では大文字と小文字が区別されます。
この LDAP サーバー上で許可されている、または実行可能な操作を指定します。この LDAPv3 リポジトリプラグインでサポートされている操作はデフォルト操作だけです。LDAPv3 リポジトリプラグインでサポートされている操作は次のとおりです。
グループ — 読み取り、作成、編集、削除
レルム — 読み取り、作成、編集、削除、サービス
ユーザー — 読み取り、作成、編集、削除、サービス
エージェント — 読み取り、作成、編集、削除
LDAP サーバー設定とタスクに基づいて、これらの操作からアクセス権を削除できますが、アクセス権の追加はできません。
このフィールドは、ユーザーの検索を実行するための属性タイプを定義します。たとえば、ユーザーの DN が「uid=k user5,ou=people,dc=iplanet,dc=com」の場合、ネーミング属性は uid です。(uid=*) がユーザーの検索フィルタに付加されます。
ユーザーエントリの検索に使用する検索フィルタを指定します。たとえば、「LDAP ユーザー検索属性」が uid で、「LDAP ユーザー検索フィルタ」が (objectClass=inetorgperson) の場合、実際のユーザー検索フィルタは次のようになります。(&(uid=*)(objectClass=inetorgperson))
ユーザーのオブジェクトクラスを指定します。ユーザーが作成されると、このユーザーオブジェクトクラスのリストがユーザーの属性リストに追加されます。
ユーザーと関連付けられる属性のリストを定義します。このリストにないユーザー属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。
このフィールドは、グループの検索を実行するための属性タイプを定義します。たとえば、グループ DN が「cn=group1,ou=groups,dc=iplanet,dc=com」で、グループのネーミング属性が cn の場合、(cn=*) がグループ検索フィルタに付加されます。
グループエントリの検索に使用する検索フィルタを指定します。たとえば、「LDAP グループ検索属性」が cn で、「LDAP グループ検索フィルタ」が (objectclass=groupOfUniqueNames) の場合、実際のグループ検索フィルタは ((&(cn=*)(objectclass=groupOfUniqueNames)) になります。
グループがコンテナ内に位置する場合に、グループコンテナのネーミング属性を指定します。コンテナ内に位置しない場合、この属性は空のままとされます。たとえば、「cn=group1,ou=groups,dc=iplanet,dc=com」のグループDN が ou=groups 内に位置する場合、グループコンテナネーミング属性は ou です。
グループコンテナの値を指定します。たとえば、「cn=group1,ou=groups,dc=iplanet,dc=com」のグループ DN がコンテナ名 ou=groups 内に位置する場合、グループコンテナ値は groups になります。
グループのオブジェクトクラスを指定します。グループが作成されると、グループオブジェクトクラスのこのリストがグループの属性リストに追加されます。
グループと関連付けられる属性のリストを定義します。このリストにないグループ属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。
DN が属する全グループの名前がその値である属性の名前を指定します。デフォルトは memberOf です。
このグループに属している DN がその値である属性名を指定します。デフォルトは uniqueMember です。
このグループに属しているメンバーを決定する LDAP URL がその値である、属性の名前を指定します。デフォルトは memberUrl です。
ユーザーがピープルコンテナ内に位置する場合に、ピープルコンテナのネーミング属性を指定します。ユーザーがピープルコンテナ内に位置しない場合、このフィールドは空のままとされます。たとえば、ユーザー DN を「uid=kuser5,ou=people,dc=iplanet,dc=com,」とすると、ou=people がピープルコンテナの名前の場合、ネーミング属性は ou です。
ピープルコンテナの値を指定します。デフォルトは people です。たとえば、ユーザー DN を「uid=kuser5,ou=people,dc=iplanet,dc=com」とすると、ou=people がピープルコンテナの名前の場合、ネーミング属性は ou で、people は「LDAP ピープルコンテナ値」です。
このフィールドは、エージェントの検索を実行するための属性タイプを定義します。デフォルトは uid です。たとえば、エージェントの DN が「uid=kagent1,ou=agents,dc=iplanet,dc=com」の場合、エージェントのネーミング属性は uid です。(uid=*) がエージェントの検索フィルタに付加されます。
エージェントがエージェントコンテナ内に位置する場合の、エージェントコンテナのネーミング属性。エージェントがエージェントコンテナ内に位置しない場合、このフィールドは空のままとされます。たとえば、ユーザー DN を「uid=kagent1,ou=agents,dc=iplanet,dc=com」とすると、エージェントネーミング属性は ou です。
エージェントコンテナの値を指定します。エージェントがエージェントコンテナ内に位置しない場合は空のままとされます。前の例では、エージェントコンテナ値は agents になります。
エージェントの検索に使用するフィルタを定義します。実際のエージェント検索フィルタは、このフィールドの値の前に「LDAP エージェント検索属性」の値を付加することによって構築されます。
たとえば、「LDAP エージェント検索属性」が uid で、「LDAP ユーザー検索フィルタ」が (objectClass=sunIdentityServerDevice) の場合、実際のユーザー検索フィルタは次のようになります。(&(uid=*)(objectClass=sunIdentityServ erDevice))
エージェントのオブジェクトクラスを定義します。エージェントが作成されると、エージェントオブジェクトクラスのリストがエージェントの属性リストに追加されます。
エージェントと関連付けられる属性のリストを定義します。このリストにないエージェント属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。
持続検索に使用するベース DN を定義します。一部の LDAPv3 サーバーは、ルートサフィックスレベルでの持続検索のみをサポートします。
持続検索を再開するまでの最大アイドル時間を定義します。1 よりも大きい値を設定する必要があります。1 以下の値を設定すると、接続のアイドル時間とは無関係に検索を再開します。
Access Manager がロードバランサとともに配備される場合、一部のロードバランサは、指定された時間アイドル状態が続くとタイムアウトします。この場合、ロードバランサに対して指定された時間よりも小さい値を「再起動前の持続検索の最大アイドル時間」に設定することをお勧めします。
「再試行する LDAPException エラーコード」で指定されたエラーコードが返された場合に、持続検索操作を再試行する回数の上限を定義します。
各再試行の前に待機する時間を指定します。これは、持続検索接続にのみ適用されます。
持続検索操作を再試行させるエラーコードを指定します。この属性は持続検索のみに適用され、すべての LDAP 操作に適用されるわけではありません。
AMSDK アイデンティティーリポジトリは、Access Manager を旧バージョンモードでインストールするときに、自動的に Access Manager 情報ツリーと混合されます。レルムモードでは、AMSDK リポジトリのインストールは選択できますが、アイデンティティーリポジトリは Access Manager 情報ツリーと混合されません。次の場合に AMSDK リポジトリタイプを選択することをお勧めします。
ロールや CoS など、Sun Java System Directory Server 固有の機能を利用する場合。
前のバージョンの Access Manager との互換性を確保する場合。
「データストア」タブをクリックします。
「データストア」リストから「新規」をクリックします。
リポジトリプラグインの名前を入力します。
「Access Manager リポジトリプラグイン」を選択します。
「次へ」をクリックします。
次のフィールドを定義します。
Access Manager リポジトリプラグインを実装するクラスファイルの場所を指定します。
Access Manager によって管理される、Directory Server 内の組織を指す DN。これは、このデータストア内で実行されるすべての操作のベース DN となります。
「終了」をクリックします。