test

Sun Identity Manager 8.1 ビジネス管理者ガイド

Procedureディレクトリタイプのデータストアを設定する

ディレクトリタイプのデータストアを設定するには、次の手順に従います。

  1. 「データストアのタイプ」メニューから「Directory」を選択します。さらにオプションが表示されます。

    図 5–16 「Data Store Configuration」ページ: 「Directory」

    ディレクトリタイプの「Data Store Configuration」ページの例を示す図

  2. ディレクトリタイプのデータストアの接続および認証情報を指定する必要があります。

    次のオプションを設定します。

    • 「ホスト」。LDAP サーバーが実行されているホストの IP アドレスまたは名前を入力します。

    • 「TCP ポート」。LDAP サーバーとの通信に使用されている TCP/IP ポートを入力します。

      • SSL を使用している場合、このポートは通常、636 です。

      • SSL 以外を使用している場合、このポートは通常、389 です。

    • 「SSL」。SSL を使用する LDAP サーバーに接続するには、このオプションをチェックします。

    • 「フェイルオーバーサーバー」。選択されたサーバーに障害が発生した場合にフェイルオーバーに使用されるサーバーをすべて一覧表示します。この情報を次の形式で入力します。これは、RFC 2255 に記載されている LDAP Version 3 の URL に従っています。


      ldap://ldap.example.com:389/o=LdapFailover

      URL のホスト、ポート、および識別名 (distinguished name、dn) の部分のみがこの設定に関係します。

      選択されたサーバーに障害が発生した場合、JNDI はリスト内の次のサーバーに自動的に接続します。

    • 「ユーザー DN」。更新時に LDAP サーバーに対する認証に使用する dn を入力します。(デフォルトは cn=Directory Manager)

    • 「パスワード」。プリンシパルのパスワードを入力します。

    • 「ベースコンテキスト」。Identity Manager がユーザーの LDAP ツリーを検索するときに使用できる 1 つ以上の開始位置を指定します。(デフォルトは dc=MYDOMAIN,dc=com)

      Identity Manager は、LDAP サーバーからユーザーを検出しようとするとき、またはユーザーがメンバーであるグループを探すときに、検索を実行します。

    • 「オブジェクトクラス」。LDAP ツリーで新しいユーザーオブジェクトを作成するときに使用する、1 つ以上のオブジェクトクラスを入力します。(デフォルトは top)

      エントリごとに個別の行に入力する必要があります。エントリを区切るのにコンマやスペースは使用しません。

      一部の LDAP サーバーでは、クラス階層のオブジェクトクラスをすべて指定する必要があります。たとえば、inetorgperson だけではなく、toppersonorganizationalperson、および inetorgperson とすべてを指定する必要がある場合があります。

    • 「アカウント検索用の LDAP フィルタ」。LDAP リソースから返すアカウントを制御する LDAP フィルタを入力します。フィルタを指定しなかった場合、Identity Manager は、指定されたオブジェクトクラスのすべてを含むアカウントをすべて返します。

    • 「検索フィルタ内のすべてのオブジェクトクラスを含む」。すべてのアカウントが指定したすべてのオブジェクトクラスを含み、さらに「アカウント検索用の LDAP フィルタ」フィールドの LDAP フィルタで指定したフィルタに一致するようにするには、このボックスをチェックします。

      注 –

      検索フィルタが指定されていないときは、このオプションを有効にする必要があります。このオプションを無効にした場合は、調整やリソースからの読み込み機能を使用することによって、指定したオブジェクトクラスの一部が含まれないアカウントを Identity Manager に読み込むことができます。

      読み込み後にアカウントの objectclass 属性が自動的に更新されることはありません。存在しないオブジェクトクラスの属性が管理者インタフェースを介して公開された場合に、objectclass 属性を修正せずにこの属性の値を指定すると失敗します。この問題を回避するには、「調整」や「リソースから読み込み」フォームの objectclass の値を上書きします。

    • 「ユーザー名属性」。ディレクトリからユーザーを検索する場合に、Identity Manager ユーザー名にマップする LDAP 属性名を入力します。この名前は、多くの場合、uid または cn です。

    • 「表示名属性」。このアカウント名を表示するときに使用されるリソースアカウント属性名を入力します。

    • 「VLV 並べ替え属性」。リソース上の VLV インデックスに使用するソート属性の名前を入力します。

    • 「ブロックを使用」。ブロック内のユーザーを検出したり処理したりするには、このボックスをチェックします。

      多数のユーザーに対して操作を実行するときにブロックでユーザーを処理すると、操作で使用されるメモリー容量が減ります。

    • 「ブロック数」。処理のためにブロックにグループ化されるユーザーの最大数を入力します。

    • 「グループメンバー属性」。ユーザーがグループに追加されるときにそのユーザーの識別名 (DN) で更新されるグループメンバー属性の名前を入力します。

      属性名は、グループのオブジェクトクラスに依存します。たとえば、Sun JavaTM System Enterprise Edition Directory Server および他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラス、および uniqueMember 属性を持つグループが使用されます。他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラスおよびメンバー属性を持つグループが使用されます。

    • 「パスワードハッシュアルゴリズム」。Identity Manager がパスワードのハッシュに使用できるアルゴリズムを入力します。サポートされる値は、次のとおりです。

      • SSHA

      • SHA

      • SMD5

      • MD5

      0 を指定したか、このフィールドを空白のままにした場合、Identity Manager は、パスワードをハッシュせず、LDAP サーバーがハッシュを実行しない限り、LDAP に平文パスワードを格納します。たとえば、Sun Java System Enterprise Edition Directory Server はパスワードをハッシュします。

    • 「名前属性の変更」。一番左側にある相対識別名 (DN) を表すユーザー属性の変更を許可するには、このボックスをチェックします。多くの場合、ネーミング属性は uid または cn に変更されます。

    • 「LDAP アクティブ化メソッド」。

      • リソースで有効化または無効化アクションへのパスワードの割り当てが使用されるようにする場合は、このフィールドを空白にします。

      • nsmanageddisabledrole キーワード、nsaccountlock キーワード、またはこのリソースのユーザーに対してアクティブ化アクションを実行するときに使用するクラス名を入力します。

    • 「LDAP アクティブ化パラメータ」。「LDAP アクティブ化メソッド」フィールドで指定した内容に基づいて、値を入力します。

      • nsmanageddisabledrole キーワードを指定した場合は、次の形式で値を入力する必要があります。


        IDMAttribute=CN=nsmanageddisabledrole,baseContext

      • nsaccountlock キーワードを指定した場合は、次の形式で値を入力する必要があります。


        IDMAttribute=true

      • クラス名を指定した場合は、次の形式で値を入力する必要があります。


        IDMAttribute
      注 –

      「LDAP アクティブ化メソッド」および「LDAP アクティブ化パラメータ」については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。

    • 「Paged Results Control の使用」。調整中にアカウントを繰り返し使用するために、VLV Control の代わりに LDAP Paged Results Control を使用するには、このチェックボックスをチェックします。

      注 –

      リソースが単純なページング制御をサポートしている必要があります。

    • 「LDAP グループメンバーシップの維持」。ユーザーの名前を変更したり、ユーザーを削除したりするときに、アダプタで LDAP グループのメンバーシップを維持するには、このボックスをチェックします。

      このオプションを有効にしなかった場合は、LDAP リソースでグループのメンバーシップが維持されます。

  3. 「テスト接続」ボタンをクリックして、データストアの接続設定をテストします。

    接続が成功したことを確認するメッセージ、またはその設定でのエラーを報告するメッセージが表示されます。

  4. 終了したら、「保存」をクリックしてから「次へ」をクリックして「プロビジョニング担当者への通知設定」ページに進みます。

    注 –

    LDAP リソースにユーザーを作成する前に、有効なアカウント属性とアイデンティティーテンプレートを設定する必要があります。