Sun Desktop Manager 1.0 インストールガイド

付録 B Desktop Manager による OpenLDAP と Active Directory の使用

Desktop Manager による OpenLDAP サーバーの使用

OpenLDAP サーバーを Desktop Manager データのリポジトリとして使用するには、構成データを格納するために使用するオブジェクトクラスと属性を提供するようにサーバーのスキーマを拡張する必要があります。/usr/share/webconsole/apoc/deploy ディレクトリには、apoc.schema という名前のカスタムスキーマファイルがあります。

このファイルは、OpenLDAP 構成ディレクトリ (/etc/openldap) の schema サブディレクトリ内にコピーし、そのディレクトリにある slapd.conf ファイルに含めることにより、OpenLDAP に追加する必要があります。このためには、ファイル内に存在する一連のスキーマの include 行の末尾に include /etc/openldap/schema/apoc.schema という行を挿入します。OpenLDAP サーバーのスキーマの拡張について詳細は、サーバーのマニュアルを参照してください。

OpenLDAP サーバーのスキーマを拡張した場合、Desktop Manager の Add Configuration Repository ウィザードを使用して、残りの構成を完了することができます。

注 –

Desktop Manager エージェントは、データが必要なユーザーの DN だけを提供して、パスワードを提供せずに、OpenLDAP サーバーに匿名で接続しようとします。OpenLDAP サーバーの一部のリリースでは、デフォルトでこのモードの匿名認証が無効になる場合があります。この場合、OpenLDAP 構成ディレクトリ (/etc/openldap) 内のファイル slapd.conf に定義される共通のサーバーパラメータに allow bind_anon_cred という行を追加することにより、このモードを有効にする必要があります。パラメータの詳細については、サーバーのマニュアルを参照してください。

Desktop Manager による Active Directory サーバーの使用

Active Directory サーバーを Desktop Manager データのリポジトリとして使用するには、構成データを格納するために使用するオブジェクトクラスと属性を提供するようにサーバーのスキーマを拡張する必要があります。 /usr/share/webconsole/apoc/deploy ディレクトリには、apoc-ad.ldf という名前のスキーマ拡張ファイルがあります。

次の手順に従って、apoc-ad.ldf ファイルを Active Directory スキーマにインポートする必要があります。

スキーマの拡張を有効にします。操作方法についての詳細は、Active Directory のマニュアルを参照してください。
コマンドプロンプトからldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf を実行します。

注 –
<BaseDN> は Active Directory のベース DN で置き換えます。

Active Directory サーバーのスキーマを拡張した場合、Desktop Manager の Add Configuration Repository ウィザードを使用して、残りの構成を完了することができます。

Add Configuration Repository ウィザードで LDAP 資格の入力を求められたら、ツリーへの読み取り権を持つユーザーの完全 DN とパスワードを入力します。このユーザーとして、ほかの目的で Active Directory を使用できないユーザーを選択できます。このようなユーザーを設定する方法についての詳細情報は、Active Directory のマニュアルを参照してください。さらに、Active Directory のドメイン名は Desktop Manager が動作しているマシンによって認識されている必要があります。このためには、Active Directory サーバーの IP アドレスをそのドメイン名にマッピングする行をコンピュータの /etc/hosts ファイルに追加します。

デスクトップのホストから構成データを取得するには、そのホストでも Active Directory のドメイン名が認識されていることが必要です。デスクトップユーザーの認証は、匿名および GSSAPI の 2 通りの方法で行うことができます。

匿名接続を使用して認証するには、すべてのユーザーに読み取り権を許可するように Active Directory サーバーを構成する必要があります。操作方法について詳細は、Active Directory のマニュアルを参照してください。
GSSAPI を使用して認証するには、ユーザーは Active Directory に対して認証され、ユーザーの資格がシステム上で使用可能である必要があります。これは、システムの Kerberos 認証を構成し、ログイン時にこれらの資格を生成することで達成できます。これを行う方法については、使用するシステムの管理マニュアルを参照してください。