付録  C Configuration Manager による OpenLDAP と Active Directory の使用

Configuration Manager による OpenLDAP サーバーの使用

OpenLDAP サーバーを Configuration Manager データのリポジトリとして使用するには、設定データを格納するために使用するオブジェクトクラスと属性を提供するようにサーバーのスキーマを拡張する必要があります。 Java Desktop System Management Tools CD で提供される Configuration Manager 配備ツールの openldap サブディレクトリには、apoc.schema という名前のカスタムスキーマファイルがあります。

このファイルを OpenLDAP 構成ディレクトリ (/etc/openldap) の schema サブディレクトリ内にコピーしたうえで、そのディレクトリにある slapd.conf ファイルにカスタムスキーマファイルを含めることにより、カスタムスキーマファイルを OpenLDAP に追加します。 このためには、ファイル内に存在する一連のスキーマの末尾に include /etc/openldap/schema/apoc.schema という行を挿入します。 OpenLDAP サーバーのスキーマの拡張について詳細は、サーバーのマニュアルを参照してください。

OpenLDAP データベースに設定データを格納できるように準備するには、Configuration Manager で提供される配備ツールを使用する必要があります。 このスキーマは、以前のインストール手順ですでに拡張されているので、createServiceTree() スクリプトのみを実行する必要があります。 任意のユーザーとして、このスクリプトを展開ツールのディレクトリからコマンド./createServiceTree を使って起動する必要があります。 このスクリプトを実行すると、この文書の展開ツールに関する節に記載されている OpenLDAP データベースの情報を入力するように求められます。 OpenLDAP 内の標準のオブジェクトクラス/属性を使用するデフォルトマッピングファイルは、展開ツールの openldap サブディレクトリに含まれています。 このファイルの名前は OrganisationalMapping です。このファイルを配備するには、createServiceTree() を起動する前に展開ツールのメインディレクトリに含まれている同名のファイルに上書きコピーします。

Configuration Manager エージェントは、データが必要なユーザーの DN だけを提供して、パスワードを提供せずに、OpenLDAP サーバーに匿名で接続しようとします。 OpenLDAP サーバーの一部のリリースでは、デフォルトでこのモードの匿名認証が無効になる場合があります。この場合、OpenLDAP 構成ディレクトリ (/etc/openldap) 内のファイル slapd.conf に定義される共通のサーバーパラメータに allow bind_anon_cred という行を追加することにより、このモードを有効にする必要があります。 パラメータの詳細については、サーバーのマニュアルを参照してください。

Configuration Manager による Active Directory サーバーの使用

Active Directory サーバーを Configuration Manager データのリポジトリとして使用するには、設定データを格納するために使用するオブジェクトクラスと属性を提供するようにサーバーのスキーマを拡張する必要があります。 Java Desktop System Management Tools CD で提供される Configuration Manager 配備ツールの ad サブディレクトリには、apoc-ad.ldf という名前のスキーマ拡張ファイルがあります。 詳細については、展開ツールに関する節を参照してください。

次の手順に従って、apoc-ad.ldf ファイルを Active Directory スキーマにインポートする必要があります。

1. スキーマの拡張を有効にします。 操作方法について詳細は、Active Directory の文書を参照してください。

2. コマンドプロンプトから ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf を実行します。

   ---

   注 –

   「<BaseDN>」は Active Directory のベース DN で置き換えます。

   ---

Active Directory サーバーで構成データを格納するための準備を行うには、展開ツールを使用する必要があります。 このスキーマは、以前のインストール手順ですでに拡張されているので、createServiceTree スクリプトのみを実行する必要があります。 任意のユーザーとして、このスクリプトを展開ツールのディレクトリから ./createServiceTreeによって起動する必要があります。 このスクリプトを実行すると、Active Directory データベースの情報を入力するように求められます。 Active Directory 内の標準のオブジェクトクラスおよび属性を使用するデフォルトマッピングファイルは、展開ツールのディレクトリの ad サブディレクトリに含まれています。 このファイルの名前は OrganisationalMapping です。このファイルを配備するには、createServiceTree を起動する前に展開ツールのメインディレクトリに含まれている同名のファイルに上書きコピーします。

これ以降、Active Directory サーバーを Configuration Manager で使用できます。 Configuration Manager をインストールするときには、ツリーの読み取り権を持ったユーザーの完全な DN とパスワードを指定します。 このユーザーとして、他の目的で Active Directory を使用できないユーザーを選択できます。 このようなユーザーを設定する方法についての詳細情報は、Active Directory のマニュアルを参照してください。 さらに、Active Directory のドメイン名は Configuration Manager が動作しているマシンによって認識されている必要があります。 このためには、Active Directory サーバーの IP アドレスをそのドメイン名にマッピングする行をコンピュータの /etc/hosts ファイルに追加します。

Java Desktop System ホストから構成データを取得するには、そのホストでも Active Directory のドメイン名が認識されていることが必要です。 Java Desktop System ユーザーの認証は、 匿名および GSSAPI の 2 通りの方法で行うことができます。

• 匿名接続を使用して認証するには、すべてのユーザーに読み取り権利を許可するように Active Directory サーバーを構成する必要があります。 操作方法について詳細は、Active Directory の文書を参照してください。

• GSSAPI を使用して認証するには、Kerberos パラメータを指定するファイル /etc/krb5.conf を変更することにより、Active Directory 領域を定義したうえで、その Key Distribution Center (KDC) として Active Directory サーバーを参照する必要があります。 また、デフォルトの暗号化タイプとして、Active Directory でサポートされる DES タイプ (des-cbc-crc および des-cbc-md5) を指定しなければなりません。 操作方法について詳細は、Kerberos の文書を参照してください。 設定データにアクセスする前に、Java Desktop System にログインしたユーザーの有効な資格情報を取得する必要があります。 この操作は、kinit コマンドを実行した後、Active Directory で定義されたユーザーパスワードを入力することにより手動で実行できます。 ログイン時にこれらの資格情報を自動的に生成する方法もあります。 詳細については、Java Desktop System のマニュアルを参照してください。