アカウントの無効化と有効化

LDAP アダプタには、LDAP リソース上のアカウントを無効にするための方法が複数用意されています。アカウントを無効にするには、次のいずれかの手法を使用します。

パスワードを不明な値に変更する

アカウントのパスワードを不明な値に変更することによってアカウントを無効にするには、「LDAP アクティブ化メソッド」フィールドと「LDAP アクティブ化パラメータ」フィールドを空白のままにします。これは、アカウントを無効にするときのデフォルトの方法です。無効になったアカウントは、新しいパスワードを割り当てることによって再度有効にできます。

nsmanageddisabledrole ロールを割り当てる

nsmanageddisabledrole LDAP ロールを使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

nsmanageddisabledrole LDAP ロールを使用するように LDAP リソースを設定する

1. 「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。

2. 「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole, baseContext に設定します。IDMAttribute は、次の手順でスキーマに指定します。

3. 「アカウント属性」ページで、IDMAttribute を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。この属性のタイプは文字列にしてください。

4. LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。

   これで、LDAP アカウントを無効にできます。LDAP コンソールを使用して検証するには、nsaccountlock 属性の値を確認します。値が true であれば、アカウントはロックされています。

   あとでアカウントが再度有効にされると、ロールからアカウントが削除されます。

nsAccountLock 属性を設定する

nsAccountLock 属性を使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

nsAccountLock 属性を使用するように LDAP リソースを設定する

1. 「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsaccountlock に設定します。

2. 「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=true に設定します。IDMAttribute は、次の手順でスキーマに指定します。たとえば、accountLockAttr=true とします。

3. 「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定した属性 (たとえば、accountLockAttr) を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。この属性のタイプは文字列にしてください。

4. リソース上で、nsAccountLock LDAP 属性を true に設定します。

   アカウントを無効化すると、Identity Manager は、nsaccountlock を true に設定します。また、すでに nsaccountlock が true に設定されていた LDAP ユーザーについても、無効と見なします。nsaccountlock の値が true 以外の値 (NULL を含む) に設定されている場合、そのユーザーは有効であるとみなします。

nsmanageddisabledrole 属性や nsAccountLock 属性を使用せずにアカウントを無効にする

「使用中のディレクトリサーバーでは nsmanageddisabledrole 属性や nsAccountLock 属性を使用できないが、アカウントを無効にする同様の方法がある場合は、「LDAP アクティブ化メソッド」フィールドに次のいずれかのクラス名を入力します。「LDAP アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。