LDAP アダプタには、LDAP リソース上のアカウントを無効にするための方法が複数用意されています。アカウントを無効にするには、次のいずれかの手法を使用します。
アカウントのパスワードを不明な値に変更することによってアカウントを無効にするには、「LDAP アクティブ化メソッド」フィールドと「LDAP アクティブ化パラメータ」フィールドを空白のままにします。これは、アカウントを無効にするときのデフォルトの方法です。無効になったアカウントは、新しいパスワードを割り当てることによって再度有効にできます。
nsmanageddisabledrole LDAP ロールを使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。
「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole, baseContext に設定します。IDMAttribute は、次の手順でスキーマに指定します。
「アカウント属性」ページで、IDMAttribute を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。この属性のタイプは文字列にしてください。
LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。
これで、LDAP アカウントを無効にできます。LDAP コンソールを使用して検証するには、nsaccountlock 属性の値を確認します。値が true であれば、アカウントはロックされています。
あとでアカウントが再度有効にされると、ロールからアカウントが削除されます。
nsAccountLock 属性を使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。
「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsaccountlock に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=true に設定します。IDMAttribute は、次の手順でスキーマに指定します。たとえば、accountLockAttr=true とします。
「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定した属性 (たとえば、accountLockAttr) を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。この属性のタイプは文字列にしてください。
リソース上で、nsAccountLock LDAP 属性を true に設定します。
アカウントを無効化すると、Identity Manager は、nsaccountlock を true に設定します。また、すでに nsaccountlock が true に設定されていた LDAP ユーザーについても、無効と見なします。nsaccountlock の値が true 以外の値 (NULL を含む) に設定されている場合、そのユーザーは有効であるとみなします。
「使用中のディレクトリサーバーでは nsmanageddisabledrole 属性や nsAccountLock 属性を使用できないが、アカウントを無効にする同様の方法がある場合は、「LDAP アクティブ化メソッド」フィールドに次のいずれかのクラス名を入力します。「LDAP アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。
Class Name |
使用する状況 |
---|---|
com.waveset.adapter.util.ActivationByAttributeEnableFalse |
ディレクトリサーバーは、属性を false に設定することによってアカウントを有効にし、属性を true に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。 |
com.waveset.adapter.util.ActivationByAttributeEnableTrue |
ディレクトリサーバーは、属性を true に設定することによってアカウントを有効にし、属性を false に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。 |
com.waveset.adapter.util.ActivationByAttributePullDisablePushEnable |
Identity Manager は、LDAP から属性と値のペアを引き出すことによってアカウントを無効にし、LDAP に属性と値のペアをプッシュすることによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。 |
com.waveset.adapter.util.ActivationByAttributePushDisablePullEnable |
Identity Manager は、LDAP に属性と値のペアをプッシュすることによってアカウントを無効にし、LDAP から属性と値のペアを引き出すことによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。 |
com.waveset.adapter.util.ActivationNsManagedDisabledRole |
ディレクトリは、特定のロールを使用してアカウントステータスを決定します。このロールにアカウントが割り当てられている場合、そのアカウントは無効になります。 このロール名をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに次の形式で値を入力します。 IDMAttribute=CN=roleName, baseContext IDMAttribute は、スキーママップの左側に定義されている、ロールの Identity Manager 名です。 |