Active Directory サーバーを Configuration Manager データのリポジトリとして使用するには、設定データを格納するために使用するオブジェクトクラスと属性を提供するようにサーバーのスキーマを拡張する必要があります。 Java Desktop System Management Tools CD で提供される Configuration Manager 展開ツールの ad サブディレクトリには、apoc-ad.ldf という名前のスキーマ拡張ファイルがあります。詳細については、展開ツールに関する節を参照してください。
次の手順に従って、apoc-ad.ldf ファイルを Active Directory スキーマにインポートする必要があります。
スキーマの拡張を有効にします。操作方法について詳細は、Active Directory の文書を参照してください。
コマンドプロンプトからldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf を実行します。
「<BaseDN>」は Active Directory のベース DN で置き換えます。
Active Directory サーバーで設定データを格納するための準備を行うには、展開ツールを使用する必要があります。このスキーマは、以前のインストール手順ですでに拡張されているので、createServiceTree スクリプトのみを実行する必要があります。任意のユーザーとして、このスクリプトを展開ツールのディレクトリから./createServiceTreeによって起動する必要があります。このスクリプトを実行すると、Active Directory データベースの情報を入力するように求められます。Active Directory 内の標準のオブジェクトクラスおよび属性を使用するデフォルトマッピングファイルは、展開ツールのディレクトリの ad サブディレクトリに含まれています。このファイルの名前は OrganisationalMapping です。このファイルを配備するには、createServiceTree を起動する前に展開ツールのメインディレクトリに含まれている同名のファイルに上書きコピーします。
これ以降、Active Directory サーバーを Configuration Manager で使用できます。Configuration Manager をインストールするときには、ツリーの読み取り権を持ったユーザーの完全な DN とパスワードを指定します。 このユーザーとして、他の目的で Active Directory を使用できないユーザーを選択できます。このようなユーザーを設定する方法についての詳細情報は、Active Directory のマニュアルを参照してください。さらに、Active Directory のドメイン名は Configuration Manager が動作しているマシンによって認識されている必要があります。このためには、Active Directory サーバーの IP アドレスをそのドメイン名にマッピングする行をコンピュータの /etc/hosts ファイルに追加します。
Java Desktop System ホストから設定データを取得するには、そのホストでも Active Directory のドメイン名が認識されていることが必要です。Java Desktop System ユーザーの認証は、匿名および GSSAPI の 2 通りの方法で行うことができます。
匿名接続を使用して認証するには、すべてのユーザーに読み取り権利を許可するように Active Directory サーバーを設定する必要があります。操作方法について詳細は、Active Directory の文書を参照してください。
GSSAPI を使用して認証するには、Kerberos パラメータを指定するファイル /etc/krb5.conf を変更することにより、Active Directory 領域を定義したうえで、その Key Distribution Center (KDC) として Active Directory サーバーを参照する必要があります。また、デフォルトの暗号化タイプとして、Active Directory でサポートされる DES タイプ (des-cbc-crc
および des-cbc-md5
) を指定しなければなりません。操作方法について詳細は、Kerberos の文書を参照してください。設定データにアクセスする前に、Java Desktop System にログインしたユーザーの有効な資格情報を取得する必要があります。この操作は、kinit コマンドを実行したあと、Active Directory で定義されたユーザーパスワードを入力することにより手動で実行できます。ログイン時にこれらの資格情報を自動的に生成する方法もあります。詳細については、Java Desktop System のマニュアルを参照してください。