EDQとLDAPの統合

EDQでは、外部ユーザー管理用にLDAPサーバーとの統合がサポートされています。

概要

EDQインストールをLDAPサーバーと統合すると、ユーザー管理の大半はEDQユーザー・インタフェースを介して実行されなくなります。かわりに、ユーザーは組織で使用されているLDAPデータベースに作成および格納され、管理はLDAPディレクトリ管理ツールを介して実行されます。

LDAP統合は、組織全体でユーザー管理を集中化するための手段として、またはシングル・サインオンの実装の一部として使用できます。シングル・サインオンが有効化されていない場合でも、ユーザーは、EDQアプリケーションにログインするたびに外部LDAPサーバーによって認証および識別できます。

ユーザー認証は、ユーザーがシステムに認識されていることを確認するためのプロセスです。これが行われるのは、認識済のユーザー名が有効なパスワードとともに提供された場合です。

ユーザー識別には、認証済ユーザーに関するその他の詳細の取得が含まれます。このトピックでは、EDQの様々なコンポーネントを使用するために特定のユーザーに付与されている権限について主に説明します。

EDQでは、広範囲の機能権限（DirectorUIにログインする機能など）がサポートされているため、ユーザーが正常に認証されても、実行しようとしたアクションが拒否される場合があることに注意してください。

また、ユーザー認証とユーザー識別に異なるサーバーが使用される可能性があることに注意してください。たとえば、Windowsを介してログインするユーザーに対してActive Directoryを使用するシングル・サインオンが有効化される一方で、ユーザー識別には別のプラットフォームの集中LDAPサーバーが使用されるようにEDQを構成する場合があります。

LDAPを使用するためのEDQの構成

LDAPサーバー上にユーザーをすでに構成していることを前提とすると、EDQインストールに対してLDAP統合を有効にするには、次の手順を実行する必要があります。

login.propertiesファイルでは、ユーザー認証実行時に使用可能なレルムが定義され、各レルムに対する様々な構成設定が指定されます。各LDAPレルムは、参照を容易にするために内部レルム名にマップされ、それぞれに対する構成詳細がレルム詳細ブロックに提供されます。特別なレルム名であるinternalは、LDAPサーバー上ではなくEDQ内に定義されているEDQユーザーを表しており、このレルムに対する詳細ブロックは必要ありません。

これは、サーバーに対して、ローカル・マシン・アカウントの現在の資格証明を使用してLDAPサーバーに接続するように指示します。

この行は、login.propertiesファイルのこの後の行で使用されるレルム名のリストを定義します。レルム名は、マップ先のドメイン名と類似している必要はありませんが、説明的で覚えやすい名称を選択することをお薦めします。この例では、レルム名winはWindowsネットワーク・ドメインに使用され、対応するレルム詳細ブロックでそのドメインにマップされます。

特別なレルム名であるinternalは、EDQユーザー管理ページ内で定義されている内部ユーザー・セットを表します。その他の名称は、外部LDAPレルムを表します。各外部LDAPドメインには、追加の構成詳細を提供するための対応するレルム詳細ブロックが必要です。前述の例では、単一のActive Directory Service（ADS）形式のレルムを定義するために、名称winが選択されています。

internalレルムは、外部グループに対する権限の設定に管理者アクセスが必要であるため、初期設定時に必要です。このプロセスの完了後は、必要に応じて内部レルムをリストから削除できます。この場合、すべてのユーザーがLDAPレルムから取得されるようになります。

レルム詳細ブロック

これらの4行は、レルム・リスト内のwinという名称のレルムを構成します。各行が、[realm name].[property name]で構築される、レルム名のプロパティを指定することに注意してください。

この行は、レルム名をLDAPレルムにマップします。この場合、長い形式（Windows 2000より前に使用されていた短い形式ではなく）で指定されるWindowsドメイン名に設定する必要があります。この例のコードのWindowsドメイン名はEXAMPLE.COMです。

この行は、シングル・サインオンが使用されていない（または失敗した）場合に、ユーザー名/パスワードの検証に使用される方法を定義します。前述の例では、ユーザー名/パスワードのチェックは、サーバーに対するLDAPバインドの試行によって実行されます。

この設定は、LDAPバインドに使用される認証方法を定義します。simple方法が最も基本的な形式であり、Windows 2000以降のすべてのバージョンのADSでサポートされています。これは、ユーザー名とパスワードをADSにクリア・テキストで送信します。Windows 2003サーバー以降では、digest-md5など、よりセキュアな方法が使用可能です。この方法を使用するには、前述の行を次の2行で置換します。

2行目は、simpleバインドで使用されるデフォルトのuser@EXAMPLE.COMではなく、プレーン・アカウント名をバインドで使用する必要があることを示します。

この行は、使用されているLDAPスキーマを示します。2つの組込みプロファイル名を使用でき、これによって、ユーザー詳細の識別方法（たとえば、「Add User Details」プロセッサによる識別）が制御されます。

このプロファイルは、一般的なADS構成を反映しています。この場合、ユーザー情報は次のLDAP属性から判断されます。

**LDAPスキーマ・マッピング**
ユーザー属性	LDAP属性名
Full name	cn
Organization	o
Phone	telephoneNumber
Email	mail

このプロファイルは、RFC 2307からの定義を使用する一般的なUnixスキーマを反映します。ユーザーにposixAccountオブジェクト・クラスが設定されていることが前提であり、グループにはposixGroupオブジェクト・クラスが設定されていることが前提です。ユーザー情報は、（前述の表の）ADSの場合と同様に判断されます。

追加のレルム設定

次のプロパティはすべての場合に必要なわけではありませんが、特定の状況で必要となる場合があります。それぞれを、必要に応じてレルム詳細ブロックに含めることができます。

LDAPサーバーの指定

デフォルトで、システムでは、_ldap._tcpサービスに対するDNS SRV参照の実行によってLDAPサーバーの位置が特定されます。ドメイン・コントローラがDNSサーバーとしても機能する場合、これらの値は自動的に設定されます。この情報が使用できない場合は、次を使用してサーバーを明示的に指定できます。

TLS暗号化の指定

Windowsサーバー2003以降では、ドメイン・コントローラにX.509証明書がインストールされている場合、EDQサーバーからの接続を暗号化するためにTLSを使用できます。これを有効にするには、次の行を追加します。

デフォルト・ユーザー・グループの指定

adsldapプロファイルが使用される場合、EDQアプリケーションで使用可能なユーザーのリスト（たとえば、イシュー管理におけるイシュー、またはCase Managementにおけるケースおよびアラートの割当に使用）は、デフォルトで「Domain Users」グループから選択されます。このグループには通常、ネットワーク管理者、バックアップ・ユーザーなど、EDQで必要のない多数のユーザーが含まれます。したがって、通常は、EDQに表示されるユーザーのセットをより小さいグループに限定することをお薦めします。このグループを指定するには、次の行を追加します。

これは、ユーザーが属するグループを判断するために、ユーザー・レコードのprimaryGroupID属性を調べる必要がないことを示します。この結果、多数のユーザーが存在する場合のパフォーマンスが向上します。