LDAPアダプタは、標準 LDAP インストールのプロビジョニングサービスを提供します。LDAP サーバーのレプリケーションの更新履歴ログを読み取り、それらの変更を Identity Manager ユーザーまたはカスタムワークフローに適用することもできます。
LDAP ChangeLog Active Sync アダプタおよび LDAP リスナー Active Sync は非推奨になりました。これらのアダプタのすべての機能は、LDAP リソースアダプタに統合されました。
LDAP アダプタは、旧バージョン形式のログを使用する Sun JavaTM System Directory Server リソース用の Active Sync をサポートします。Identity Manager 側では、LDAPActiveSyncForm.xml または LDAPPasswordActiveSyncForm.xml のいずれかを、同期の入力フォームとして使用します。Identity Manager の設定については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」および第 51 章LDAP パスワードの同期を参照してください。
Sun Java System Directory Server を設定して、更新履歴ログと修飾子情報の追跡を有効にするには、次の手順を参考にしてください (実際の手順は、Directory Server のバージョンによって異なります)。
ディレクトリサーバーの設定タブで、「レプリケーション」フォルダをクリックし、「Enable change log」ボックスを選択します。5.0 以降のサーバーでは、RetroChangelog スナップインも有効にします。設定タブで、プラグインオブジェクトに移動し、旧バージョン形式の更新履歴ログプラグインを選択して有効にします。
新規作成または変更されたエントリの特殊な属性を維持するようにサーバーが設定されていることを確認するには、Directory Server コンソールの「設定」タブをクリックし、左側の区画でナビゲーションツリーのルートエントリを選択します。
「設定」サブタブをクリックし、「エントリの変更時間を記録」ボックスにチェックマークが付いていることを確認します。
サーバーは、イベントが Identity Manager から起動されたかどうかを判断するために、新しく作成または変更したエントリに次の属性を追加します。
creatorsName: そのエントリを最初に作成したユーザーの DN。
modifiersName: そのエントリを最後に変更したユーザーの DN。
次の手順を実行して、自己署名付き証明書が実装されたディレクトリサーバーに SSL 経由で接続します。
CA 証明書をディレクトリサーバーから一時ファイルにエクスポートします。たとえば、Sun Java System Directory Server で次のコマンドを入力します。
certutil -L -d DB_Directory -P slapd-HostName- -n Nickname -a > ds-cert.txt |
この証明書をキーストアにインポートします。
cd $JAVA_HOME/jre/lib/security keytool -import -file PathTo/ds-cert.txt -keystore ./cacerts -storepass changeit -trustcacerts |
このリソースでは、追加のインストール手順は必要ありません。
ここでは、LDAP リソースアダプタの使用に関する情報を示します。 次のトピックで構成されています。
LDAP リソースでのパスワード同期の有効化については、第 51 章LDAP パスワードの同期を参照してください。
LDAP に接続するときは、管理者アカウント CN=Directory Manager を使用するのではなく、Identity Manager サービスアカウントを作成するようにしてください。LDAP Directory Server 管理ツールを使用して、各ベースコンテキストで ACI (アクセス制御命令) によってアクセス権を設定します。
ACI でのアクセス権をソースに基づいて設定します。アダプタからアイデンティティー情報の源泉となるソースに接続する場合は、読み取り、検索、および (場合によっては) 比較のアクセス権のみを設定します。アダプタを書き戻し用に使用する場合は、書き込みと (場合によっては) 削除のアクセス権を設定します。
更新履歴ログの監視にアカウントを使用する場合は、cn=changelog で ACI も作成するようにしてください。更新履歴ログのエントリに対しては書き込みも削除もできないため、アクセス権は読み取りと検索のみに設定するとよいでしょう。
LDAP アダプタは、別名を管理できます。ただし、getUser の呼び出しが実行される場合、別名が逆参照されて、アダプタは参照先オブジェクトを返します。結果として、アダプタは別名オブジェクト自体の属性を検索しません。
これは、JNDI のデフォルトが次の設定になっているために発生します。
java.naming.ldap.derefAliases=always
このプロパティーは、次の行が含まれる jndi.properties ファイルを作成することでグローバルに変更できます。
java.naming.ldap.derefAliases=never
jndi.properties ファイルは、Java ライブラリパス ($WSHOME/WEB-INF/classes など) に配置する必要があります。変更を有効にするために、アプリケーションサーバーを再起動します。
同期ポリシーを編集するときは、「変更者フィルタ」フィールドの値を指定してください。標準の値は、このアダプタで使用される管理者の名前です。管理者の名前を入力すると、無限ループが発生することを防ぐことができます。エントリの形式は、cn=Directory Manager です。
ここでは、Identity Manager が RootDN 以外のユーザーとして LDAP リソースに接続することを前提としています。RootDN ユーザーとして接続する場合は、ここで説明する手順を適用できますが、ほかの LDAP 属性値でも可能な場合があります。詳細は、Directory Server のマニュアルを参照してください。
Microsoft ADAM でこの機能を有効にする方法については、「ADAM スキーマの修正」を参照してください。
Directory Server では、検索できる LDAP エントリの数と取得できる LDAP エントリの数を、それぞれ nsLookThroughLimit 属性と nsslapd-sizelimit 属性によって定義します。nsLookThroughLimit のデフォルト値は 5,000 で、nsslapd-sizelimit のデフォルト値は 2,000 です。どちらの属性も、-1 に設定すると制限が無効になります。これらの属性の値を変更した場合は、Directory Server を再起動してください。
必ずしもデフォルト値を変更した方がよいとは限りません。LDAP 検索のパフォーマンスを向上させるために、LDAP 仮想リスト表示 (VLV) コントロールを有効にできます。VLV は、一度にすべての検索結果を返さず、検索結果の一部を返します。
「ブロックを使用」リソース属性を使用すると、VLV コントロールの使用によって Identity Manager のクエリー結果を常にサイズ制限の範囲内を収めることができます。「ブロック数」リソース属性は、取得するユーザーの数を指定しますが、この値は nsslapd-sizelimit 属性に設定された値以下にする必要があります。
VLV インデックス (参照インデックスとも呼ばれる) を作成してください。 作成しないと、nsslapd-sizelimit によるサイズ制限が有効なままになります。VLV インデックスによってアカウントの反復処理のパフォーマンスが大幅に向上するため、調整、リソースからの読み込み、またはファイルへのエクスポートを頻繁に行う予定である場合は、インデックスを設定するようにしてください。
VLV インデックスの作成の詳細な手順については、Directory Server のマニュアルを参照してください。基本的なプロセスは次のとおりです。
次のプロパティーを持つ vlvsearch オブジェクトを作成します。
vlvbase: YourBaseContext vlvfilter: (&(objectclass=top)(objectclass=person) (objectclass=organizationalPerson) (objectclass=inetorgperson)) vlvscope: 2 |
vlvbase 属性は、「ベースコンテキスト」リソース属性に指定した値に一致させる必要があります。vlvfilter 属性には、「オブジェクトクラス」リソース属性に指定したクラスを、ここに示した形式で含める必要があります。vlvscope の値 2 は、サブツリー検索を示します。
vlvindex コンポーネントを vlvsearch のサブオブジェクトとして作成します。vlvsort 属性を uid に設定してください。
vlvindex コマンドまたはほかのメカニズムを使用して、VLV インデックスを構築します。
ACI (アクセス制御命令) により次の項目のアクセス権を設定します。
更新履歴ログの参照インデックスをまだ作成していない場合は、作成します。Directory Server のユーザーインタフェースを使用すると、デフォルトで “MCC cn=changelog” という名前の vlvsearch オブジェクトと、“SN MCC cn=changelog” という名前の vlvindex オブジェクトが作成されます。
アクセス制御命令 (ACI) によりアクセス権を設定し、Identity Manager アカウントが次の項目の読み取り、比較、および検索の権限を持つようにします。
更新履歴ログ (cn=changelog)
vlvsearch オブジェクト (cn=”MCC cn=changelog”,cn=config,cn=ldbm)
vlvindex オブジェクト (“SN MCC cn=changelog”,cn=config,cn=ldbm)
Directory Server の一部のバージョンでは、更新履歴ログの nsLookThroughLimit 属性に 5,000 の値がハードコードされています。更新履歴ログの nsLookThroughLimit 制限にかかるのを避けるには、サーバーで保持する更新履歴ログエントリの最大数を 5,000 未満に制限します。更新履歴ログのエントリが失われるのを避けるには、アダプタのポーリング間隔を短くします。
LDAP アダプタには、LDAP リソース上のアカウントを無効にするための方法が複数用意されています。アカウントを無効にするには、次のいずれかの手法を使用します。
アカウントのパスワードを不明な値に変更することによってアカウントを無効にするには、「LDAP アクティブ化メソッド」フィールドと「LDAP アクティブ化パラメータ」フィールドを空白のままにします。これは、アカウントを無効にするときのデフォルトの方法です。無効になったアカウントは、新しいパスワードを割り当てることによって再度有効にできます。
nsmanageddisabledrole LDAP ロールを使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。
「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole, baseContext に設定します。IDMAttribute は、次の手順でスキーマに指定します。
「アカウント属性」ページで、IDMAttribute を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。この属性のタイプは文字列にしてください。
LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。
これで、LDAP アカウントを無効にできます。LDAP コンソールを使用して検証するには、nsaccountlock 属性の値を確認します。値が true であれば、アカウントはロックされています。
あとでアカウントが再度有効にされると、ロールからアカウントが削除されます。
nsAccountLock 属性を使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。
「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsaccountlock に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=true に設定します。IDMAttribute は、次の手順でスキーマに指定します。たとえば、accountLockAttr=true とします。
「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定した属性 (たとえば、accountLockAttr) を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。この属性のタイプは文字列にしてください。
リソース上で、nsAccountLock LDAP 属性を true に設定します。
アカウントを無効化すると、Identity Manager は、nsaccountlock を true に設定します。また、すでに nsaccountlock が true に設定されていた LDAP ユーザーについても、無効と見なします。nsaccountlock の値が true 以外の値 (NULL を含む) に設定されている場合、そのユーザーは有効であるとみなします。
「使用中のディレクトリサーバーでは nsmanageddisabledrole 属性や nsAccountLock 属性を使用できないが、アカウントを無効にする同様の方法がある場合は、「LDAP アクティブ化メソッド」フィールドに次のいずれかのクラス名を入力します。「LDAP アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。
Class Name |
使用する状況 |
---|---|
com.waveset.adapter.util.ActivationByAttributeEnableFalse |
ディレクトリサーバーは、属性を false に設定することによってアカウントを有効にし、属性を true に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。 |
com.waveset.adapter.util.ActivationByAttributeEnableTrue |
ディレクトリサーバーは、属性を true に設定することによってアカウントを有効にし、属性を false に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。 |
com.waveset.adapter.util.ActivationByAttributePullDisablePushEnable |
Identity Manager は、LDAP から属性と値のペアを引き出すことによってアカウントを無効にし、LDAP に属性と値のペアをプッシュすることによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。 |
com.waveset.adapter.util.ActivationByAttributePushDisablePullEnable |
Identity Manager は、LDAP に属性と値のペアをプッシュすることによってアカウントを無効にし、LDAP から属性と値のペアを引き出すことによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。 |
com.waveset.adapter.util.ActivationNsManagedDisabledRole |
ディレクトリは、特定のロールを使用してアカウントステータスを決定します。このロールにアカウントが割り当てられている場合、そのアカウントは無効になります。 このロール名をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに次の形式で値を入力します。 IDMAttribute=CN=roleName, baseContext IDMAttribute は、スキーママップの左側に定義されている、ロールの Identity Manager 名です。 |
LDAP アダプタは、Microsoft の Application Directory Application Mode (ADAM) にプロビジョニングするように設定できます。次のそれぞれの節では、ADAM のサポートを有効にする方法について説明します。
Identity Manager で使用するために ADAM スキーマの調整が必要なことがあります。リソーススキーマおよび LDAP リソースのアイデンティティーテンプレートには、一意の識別子 (またはアカウント ID) の参照が含まれることがあります。ADAM は、次の点がその他の LDAP 実装と異なります。
ADAM では、オブジェクトクラス定義は、単一の命名属性だけを許容します。命名属性は、DN の一番左にある RDN コンポーネントに現れる属性です。
uid 属性は、複数値として定義されます。
cn 属性は、単一値として定義され、64 文字以下にする必要があります。
ADAM スキーマは、属性インデックス設定を定義します。スキーマの各属性定義エントリには searchFlags 属性があります。たとえば Uid は、スキーマコンテキストの cn=Uid,cn=Schema に位置します。searchFlags 属性は、ビットマスクであり、1 (インデックス作成)、2 (コンテナごとのインデックス作成)、および 64 (効率的な VLV クエリをサポートするインデックス) の値はインデックス作成に関連します。
ADAM インスタンスでスキーマを更新する詳細は、Microsoft のマニュアルを参照してください。
ADAM での調整では、ページング結果コントロールまたは仮想リスト表示コントロールのいずれかを使用できます。ページング結果コントロールを使用するには、リソースのリソースパラメータ設定ページで、「Use Paged Results Control」チェックボックスにチェックマークを付けます。仮想リスト表示コントロールを使用するには、リソースのリソースパラメータ設定ページの「VLV Sort Attribute」で名前を付けた属性が、有効な VLV クエリーをサポートするオプションを設定して、ADAM でインデックス化されている必要があります。詳細は、「ADAM スキーマの修正」を参照してください。
Active Sync は ADAM でサポートされていません。
次の手順に従って、Identity Manager が ADAM のアカウントを有効および無効にできるようにします。
「LDAP リソースパラメータ」ページで、「LDAP アクティブ化メソッド」パラメータを com.waveset.adapter.util.ActivationByAttributePushDisablePullEnable に設定します。
「LDAP アクティブ化パラメータ」を Identity_System_Attribute=true に設定します。アイデンティティーシステム属性は、次の手順で「アカウント属性」ページで指定します。たとえば MyUserAccountDisabled=true とします。
「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定したアイデンティティーシステム属性をアイデンティティーシステムユーザー属性として追加します。リソースユーザー属性を msDS-UserAccountDisabled に設定します。この属性のタイプは文字列にしてください。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、TCP/IP または SSL 経由の Java Naming and Directory Interface (JNDI) を使用して LDAP アダプタと通信します。
TCP/IP を使用する場合は、「リソースパラメータ」ページでポート 389 を指定します。
SSL を使用する場合は、ポート 636 を指定します。
「ユーザー DN」リソースパラメータに値 cn=Directory Manager を指定すると、Identity Manager 管理者には、LDAP アカウント管理に必要なアクセス権が付与されます。別の識別名を指定する場合は、そのユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与してください。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
あり |
前アクションと後アクション |
なし |
データ読み込みメソッド |
|
属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は Boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。
次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 Boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。
LDAP 構文 |
属性タイプ |
オブジェクト ID |
---|---|---|
Audio |
Binary |
1.3.6.1.4.1.1466.115.121.1.4 |
Binary |
Binary |
1.3.6.1.4.1.1466.115.121.1.5 |
Boolean |
Boolean |
1.3.6.1.4.1.1466.115.121.1.7 |
Country String |
String |
1.3.6.1.4.1.1466.115.121.1.11 |
DN |
String |
1.3.6.1.4.1.1466.115.121.1.12 |
Directory String |
String |
1.3.6.1.4.1.1466.115.121.1.15 |
Generalized Time |
String |
1.3.6.1.4.1.1466.115.121.1.24 |
IA5 String |
String |
1.3.6.1.4.1.1466.115.121.1.26 |
Integer |
Int |
1.3.6.1.4.1.1466.115.121.1.27 |
Postal Address |
String |
1.3.6.1.4.1.1466.115.121.1.41 |
Printable String |
String |
1.3.6.1.4.1.1466.115.121.1.44 |
Telephone Number |
String |
1.3.6.1.4.1.1466.115.121.1.50 |
次の属性は、LDAP リソースアダプタの「アカウント属性」ページに表示されます。特に記載されていないかぎり、属性の型はすべて String です。
アイデンティティーシステム 属性 |
リソースユーザー属性 |
LDAP 構文 |
説明 |
---|---|---|---|
accountId |
uid |
Directory string |
User ID |
accountId |
cn |
Directory string |
必須。ユーザーのフルネーム。 |
firstname |
givenname |
Directory string |
ユーザーの名。 |
lastname |
sn |
Directory string |
必須。ユーザーの姓。 |
modifyTimeStamp |
modifyTimeStamp |
Generalized time |
ユーザーエントリが変更された日時を示します。 |
password |
userPassword |
Octet string |
暗号化された値。ユーザーのパスワード。 |
次の表に示すアカウント属性は、デフォルトではスキーマに表示されません。グループを管理するには、これらの属性をスキーママップに追加してください。
アイデンティティーシステム 属性 |
リソースユーザー属性 |
LDAP 構文 |
説明 |
---|---|---|---|
user defined |
ldapGroups |
ldapGroups |
LDAP ユーザーがメンバーになっているグループの識別名のリスト。 リソース属性である「グループメンバー属性」では、ユーザーの識別名を含むように更新される LDAP グループエントリの属性を指定します。「グループメンバー属性」のデフォルト値は、uniquemember です。 |
user defined |
posixGroups |
なし |
LDAP ユーザーがメンバーになっている posixGroups エントリの識別名のリスト。 アカウントに Posix グループのメンバーシップを割り当てるには、そのアカウントが uid LDAP 属性の値を持っている必要があります。posixGroup エントリの memberUid 属性は、ユーザーの uid を含むように更新されます。 |
スキーママップに posixGroups または ldapGroups が定義されている場合は、次の動作に注意してください。
LDAP アカウントが削除されると、Identity Manager はすべての LDAP グループからそのアカウントの DN を削除し、すべての posixGroups からそのアカウントの uid を削除します。
アカウントの uid が変更されると、Identity Manager は、該当する posixGroups 内で、古い uid を新しい uid で置き換えます。
アカウントの名前が変更されると、Identity Manager は、該当する LDAP グループ内で、古い DN を新しい DN で置き換えます。
次の表に、LDAP Person オブジェクトクラスで定義されている、サポートされている属性を示します。Person オブジェクトクラスに定義されている属性の一部は、デフォルトで表示されます。
アイデンティティーシステム 属性 |
リソースユーザー属性 |
LDAP 構文 |
説明 |
---|---|---|---|
description |
Directory string |
String |
ユーザーの特定の関心事についての簡潔でわかりやすい説明 |
seeAlso |
DN |
String |
ほかのユーザーへの参照 |
telephoneNumber |
Telephone number |
String |
第一電話番号 |
次の表に、LDAP organizationalPerson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、Person オブジェクトクラスから属性を継承することもできます。
リソースユーザー属性 |
LDAP 構文 |
属性タイプ |
説明 |
---|---|---|---|
destinationIndicator |
Printable string |
String |
この属性は、電報サービスに使用されます。 |
facsimileTelephoneNumber |
Facsimile telephone number |
String |
第一 FAX 番号。 |
internationaliSDNNumber |
Numeric string |
String |
オブジェクトに関連付けられた国際 ISDN 番号を指定します。 |
l |
Directory string |
String |
都市、国、その他の地理的領域などの地域の名前 |
ou |
Directory string |
String |
組織単位の名前 |
physicalDeliveryOfficeName |
Directory string |
String |
配達物の送付先となるオフィス。 |
postalAddress |
Postal address |
String |
ユーザーの勤務先オフィスの所在地。 |
postalCode |
Directory string |
String |
郵便配達用の郵便番号。 |
postOfficeBox |
Directory string |
String |
このオブジェクトの私書箱番号。 |
preferredDeliveryMethod |
Delivery method |
String |
受取人への優先される送付方法 |
registeredAddress |
Postal Address |
String |
受信者に配達を受け入れてもらう必要がある電報や速達文書の受け取りに適した郵便の宛先。 |
st |
Directory string |
String |
州名または都道府県名。 |
street |
Directory string |
String |
郵便の宛先の番地部分。 |
teletexTerminalIdentifier |
Teletex Terminal Identifier |
String |
オブジェクトに関連付けられたテレテックス端末の識別子 |
telexNumber |
Telex Number |
String |
国際表記法によるテレックス番号 |
title |
Directory string |
String |
ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq. や DDS などの敬称には使用されません。 |
x121Address |
Numeric string |
String |
オブジェクトの X.121 アドレス。 |
次の表に、LDAP inetOrgPerson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、organizationalPerson オブジェクトクラスから属性を継承することもできます。
アイデンティティーシステム 属性 |
リソースユーザー属性 |
LDAP 構文 |
説明 |
---|---|---|---|
audio |
Audio |
Binary |
オーディオファイル。 |
businessCategory |
Directory string |
String |
組織で実施されているビジネスの種類。 |
carLicense |
Directory string |
String |
自動車の登録番号 (ナンバープレート) |
departmentNumber |
Directory string |
String |
組織内の部署を特定します |
displayName |
Directory string |
String |
エントリを表示するときに優先的に使用されるユーザーの名前 |
employeeNumber |
Directory string |
String |
組織内の従業員を数値で示します |
employeeType |
Directory string |
String |
従業員、契約社員などの雇用形態 |
homePhone |
Telephone number |
String |
ユーザーの自宅電話番号。 |
homePostalAddress |
Postal address |
String |
ユーザーの自宅住所。 |
initials |
Directory string |
String |
ユーザーのフルネームの各部のイニシャル。 |
jpegPhoto |
JPEG |
Binary |
JPEG 形式のイメージ。 |
labeledURI |
Directory string |
String |
ユーザーに関連付けられた URI (Universal Resource Indicator) とオプションのラベル。 |
|
IA5 string |
String |
1 つ以上の電子メールアドレス。 |
manager |
DN |
String |
ユーザーのマネージャーのディレクトリ名。 |
mobile |
Telephone number |
String |
ユーザーの携帯電話番号。 |
o |
Directory string |
String |
組織の名前。 |
pager |
Telephone number |
String |
ユーザーのポケットベル番号。 |
preferredLanguage |
Directory string |
String |
優先される、ユーザーの書き言葉または話し言葉の言語。 |
roomNumber |
Directory string |
String |
ユーザーのオフィスまたは部屋の番号。 |
secretary |
DN |
String |
ユーザーの管理補佐のディレクトリ名。 |
userCertificate |
certificate |
Binary |
バイナリ形式の証明書。 |
Identity Manager は、デフォルトで次の LDAP オブジェクトをサポートします。文字列ベース、整数ベース、またはブールベースの属性も管理できます。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除、名前の変更、名前を付けて保存 |
cn、description、owner、uniqueMember |
Posix Group |
作成、更新、削除、名前の変更、名前を付けて保存 |
cn、description、gid、memberUid |
Domain |
Find |
dc |
Organizational Unit |
作成、削除、名前の変更、名前を付けて保存、検索 |
ou |
組織 |
作成、削除、名前の変更、名前を付けて保存、検索 |
o |
LDAP リソースアダプタは、posixGroup エントリの管理機能を提供します。デフォルトでは、posixGroup に割り当てることができるアカウントのリストに posixAccount オブジェクトクラスが含まれています。LDAP Create Posix Group Form と LDAP Update Posix Group Form をカスタマイズして、posixAccount 以外のアカウントを一覧表示できます。ただし、これらのアカウントに対して、posixGroup のメンバーになるための uid 属性を定義する必要があります。
このリソースのアイデンティティーテンプレートを指定する必要があります。
LDAP グループ作成フォーム
LDAP 組織作成フォーム
LDAP 組織単位作成フォーム
LDAP 人物作成フォーム
LDAP Create Posix Group Form
LDAP グループ更新フォーム
LDAP 組織更新フォーム
LDAP 組織単位更新フォーム
LDAP 人物更新フォーム
LDAP Update Posix Group Form
LDAPGroupCreateExt.xml
LDAPGroupUpdateExt.xml
LDAPgroupScalable.xml
LDAPPasswordActiveSyncForm.xml
LDAPGroupCreateExt.xml フォームと LDAPGroupUpdateExt.xml フォームには、一意でないメンバー名を入力できます。
Identity Manager のデバッグページを使用して、次のクラスの 1 つ以上でトレースオプションを設定します。
com.waveset.adapter.LDAPResourceAdapterBase
com.waveset.adapter.LDAPResourceAdapter