第 3 章
ユーザーとグループの管理

この章では、Sun ONE Web Server にアクセスするユーザーとグループの追加、削除、編集について説明します。

この章には、次の内容が記述されています。

ユーザーとグループに関する情報へのアクセス
ディレクトリサービスについて
ディレクトリサービスの設定
ユーザーの作成
ユーザーの管理
グループの作成
グループの管理
組織単位の作成
組織単位の管理

---

ユーザーとグループに関する情報へのアクセス

管理サーバーを使用して、ユーザーアカウント、グループリスト、アクセス特権、組織単位、その他のユーザーやグループに固有の情報に関するアプリケーションデータにアクセスできます。

ユーザーとグループの情報は、テキスト形式のフラットファイル、または LDAP (Lightweight Directory Access Protocol) をサポートする Sun ONE Directory Server などのディレクトリサーバーに格納されます。LDAP は、オープンディレクトリアクセスプロトコルで、TCP/IP 上で動作し、グローバルサイズに、また百万単位のエントリにまで拡張可能です。

Sun ONE Web Server はローカル LDAP をサポートしていないため、ユーザーやグループを追加する場合、事前にディレクトリサーバーをインストールしておく必要があります。

---

ディレクトリサービスについて

Sun ONE Directory Server などのディレクトリサーバーを使用することで、単一ソースからのすべてのユーザー情報を管理できます。ディレクトリサーバーを設定すると、ネットワークに容易にアクセスできる複数の場所から、ユーザーがディレクトリ情報を取得できるようになります。

Sun ONE Web Server 6.1 では、3 種類のディレクトリサービスを設定して、ユーザーおよびグループの認証と承認を行えます。ディレクトリサービスが設定されていない場合、作成される新しいディレクトリサービスには、種類に関係なく default という値が設定されます。

ディレクトリサービスを作成すると、ディレクトリサービスの詳細によって server-root/userdb/dbswitch.conf ファイルが更新されます。

ディレクトリサービスの種類

Sun ONE Web Server 6.1 がサポートするディレクトリサービスには、次の種類があります。

LDAP: ユーザーおよびグループ情報を LDAP ベースのディレクトリサーバーに格納します。

LDAP サービスがデフォルトサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。

directory default ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom

default:binddn cn=Directory Manager

default:encoded bindpw YWRtaW5hZG1pbg==

LDAP サービスがデフォルト以外のサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。

directory ldap ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom

ldap:binddn cn=Directory Manager

ldap:encoded bindpw YWRtaW5hZG1pbg==

鍵ファイル: 鍵ファイルは、ハッシュ形式のユーザーパスワード、およびそのユーザーが所属するグループのリストが含まれているテキストファイルです。鍵ファイルに格納されたユーザーとグループは、認証と承認のために file レルムだけで使用され、システムのユーザーおよびグループとは関連しません。file レルムについては、「file レルム」を参照してください。

鍵ファイルベースのデータベースを作成すると、dbswitch.conf ファイルが次の例のように更新されます。

directory keyfile file

keyfile:syntax keyfile

keyfile:keyfile D:¥draco¥keyfile¥keyfiledb

ダイジェストファイル: ユーザーとグループの情報を、暗号化されたユーザー名とパスワードに基づいて格納します。

鍵ファイルベースのデータベースを作成すると、dbswitch.conf ファイルが次の例のように更新されます。

directory digest file

digest:syntax digest

digest:digestfile D:¥draco¥digest¥digestdb

注	分散管理を設定するときは、LDAP ベースのディレクトリサービスをデフォルトディレクトリとする必要があります。

---

ディレクトリサービスの設定

ディレクトリサービスの詳細を設定するには、次の手順を実行します。

管理サーバーにアクセスして、「Global Settings」タブをクリックします。
「Configure Directory Service」リンクをクリックします。
「Create New Service of Type」ドロップダウンリストから、作成するディレクトリサービスの種類を選択します。
「New」をクリックします。

選択したディレクトリサービスの種類に対応するページで、ディレクトリサービスの情報を設定できるようになります。

注	ディレクトリサービスが設定されていない場合、作成される新しいディレクトリサービスには、種類に関係なく default という値が設定されます。

「Save Changes」をクリックして変更を保存します。

ディレクトリサービスを作成および設定すると、仮想サーバーごとにディレクトリサービスを割り当てられるようになります。ディレクトリサービスに関連する権限とアクセス権は、アクセス制御規則を評価および適用するときに、サーバーによって使用されます。詳細は、「仮想サーバーのディレクトリサービスの選択」を参照してください。

識別名 (DN) の理解

管理サーバーの「Users and Groups」タブを使用して、ユーザー、グループ、および組織単位を作成したり、変更したりします。ユーザーとは、企業の社員などのように、LDAP データベース内の個人を意味します。グループとは、同じ属性を共有する複数のユーザーを意味します。組織単位は、organizationalUnit オブジェクトクラスを使用する企業内の区分を意味します。ユーザー、グループ、および組織単位については、この章の最後に詳細を説明します。

企業内のユーザーやグループは、それぞれ、識別名 (DN) 属性で表されます。DN 属性は、関連するユーザー、グループ、またはオブジェクトを識別する情報が記述されたテキスト文字列です。ユーザーやグループのディレクトリエントリを変更する場合は、必ず DN を使用します。たとえば、ディレクトリエントリを作成したり変更したり、アクセス制御を設定したり、メールまたはパブリッシングなどのアプリケーション用のユーザーアカウントを設定したりする場合はそのたびに、DN 情報を指定する必要があります。DN を作成または変更するときは、Sun ONE Web Server 管理コンソールでユーザーとグループのインタフェースを使用すると便利です。

次の例は、Sun Microsystems の社員の一般的な DN を表しています。

uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US

この例では、各等号の前の略語は、それぞれ次の意味を示します。

uid: ユーザー ID
e: email address (電子メールアドレス)
cn: ユーザーの共通名
o: 組織名
c: 国名

DN には、さまざまな名前-値の組み合わせを含めることができます。DN は、証明書の項目、および LDAP をサポートするディレクトリ内のエントリの両方を識別するために使用されます。

LDIF の使用

この時点でまだディレクトリがない場合、または、既存のディレクトリに新規のサブツリーを追加したい場合、Directory Server の管理サーバー LDIF インポート機能を使用できます。この機能を使用すれば、LDIF を含むファイルを取り扱うことができ、ディレクトリを構築したり、LDIF エントリから新規のサブツリーを構築することが可能です。また、Directory Server の LDIF エクスポート機能を使用して、現在のディレクトリを LDIF へエクスポートすることもできます。この機能は、該当するディレクトリを表す LDIF 書式のファイルを作成します。エントリは、ldapmodify コマンドを適切な LDIF 更新文とともに使用して追加、編集します。

LDIF を使用してデータベースにエントリを追加するには、まず、LDIF ファイル内のエントリを定義し、次に、Directory Server から LDIF ファイルをインポートします。

---

ユーザーの作成

管理サーバーの「Users and Groups」タブを使用して、ユーザーエントリを作成したり、変更したりします。ユーザーエントリには、データベース内の個人やオブジェクトに関する情報があります。

ユーザーを作成するときは、そのユーザーがリソースに不正にアクセスできないように設定することで、サーバーのセキュリティを保護する必要があります。Sun ONE Web Server 6.1 には、セキュリティ強化のためのオプションが数多く用意されています。

J2EE およびサーブレットベースのレルムの認証を使用してユーザーを認証および承認する方法については、「レルムベースのセキュリティ」を参照してください。
アクセス制御リスト (ACL) ベースの認証および承認の使用方法については、「アクセス制御のしくみ」を参照してください。
Java ベースのセキュリティモデルと ACL ベースのセキュリティモデルを結ぶ native レルム機能の使用については、「native レルムの設定」を参照してください。

この節では、次の内容について説明します。

LDAP ベース認証データベースの新規ユーザーの作成
ファイルベース認証データベースの新規ユーザーの作成
ダイジェストベース認証データベースの新規ユーザーの作成

LDAP ベース認証データベースの新規ユーザーの作成

LDAP ベースのディレクトリサービスにユーザーエントリを追加すると、ユーザーの認証と承認に、基本となる LDAP ベースディレクトリサーバーのサービスが使用されます。この項では、LDAP ベースの認証データベースを使用する場合に注意すべきガイドラインを示し、管理サーバーを通じてユーザーを追加する方法について説明します。

LDAP ベースユーザーエントリ作成のガイドライン
新規ユーザーエントリの作成方法
Directory Server のユーザーエントリ

LDAP ベースユーザーエントリ作成のガイドライン

管理者フォームを使用して LDAP ベースのディレクトリサービスに新しいユーザーエントリを作成するときは、次のガイドラインを考慮してください。

名 (ファーストネーム) および姓を入力すると、フォームにはユーザーのフルネームとユーザー ID が自動的に入力されます。ユーザー ID は、ユーザーのファーストネームの最初の 1 文字の後にユーザーのラストネームを組み合わせて生成されます。たとえば、ユーザーの名前が Billie Holiday の場合、ユーザー ID は、自動的に bholiday となります。このユーザー ID は、必要に応じて、独自に作成する ID と置き換えることができます。
ユーザー ID は一意である必要があります。管理サーバーは、検索ベース (ベース DN) の下のディレクトリ全体を検索し、同じユーザー ID が使われていないかを調べて、ユーザー ID が一意であることを確認します。ただし、Directory Server の ldapmodify コマンド行ユーティリティを使用して (使用可能ならば)、ユーザーを作成する場合は、ユーザー ID が一意であるかどうかは確認されないため注意が必要です。ディレクトリに重複したユーザー ID が存在していた場合、該当するユーザーは、そのディレクトリでは認証されなくなります。
ベース DN は、識別名を指定します。それはディレクトリの検索がデフォルトで実行され、Sun ONE Web 管理サーバーのエントリがすべてディレクトリツリーに配置される場所です。「DN」は、ディレクトリサーバーのエントリ名を表す文字列です。
新規にユーザーエントリを作成する場合、少なくとも次のユーザー情報を指定してください。
姓 (ラストネーム)
full name (フルネーム)
ユーザー ID
組織単位がディレクトリに定義されている場合、「Add New User To」リストを使用して、新規のユーザーを配置したい場所を指定できます。デフォルトの場所は、ディレクトリのベース DN (またはルートポイント) になります。

注	国際情報についてのユーザーが編集するテキストフィールドは、管理サーバーと Sun ONE Web Server 管理コンソールでは異なります。Sun ONE Web Server 管理コンソールには、タグのない cn フィールドのほかに、言語を選択する cn フィールドがありますが、管理サーバーにはこのフィールドはありません。

新規ユーザーエントリの作成方法

ユーザーエントリを作成するには、「LDAP ベースユーザーエントリ作成のガイドライン」に記載のガイドラインを読み、その後で次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New User」リンクをクリックします。
「Select Directory service」ドロップダウンリストから「LDAP Directory Service」を選択し、「Select」をクリックします。
表示されるページに必要な情報を入力します。

詳細は、「Directory Server のユーザーエントリ」を参照してください。

「OK」をクリックします。

詳細は、オンラインヘルプの「New User」ページを参照してください。

Directory Server のユーザーエントリ

次のユーザーエントリについての注意は、主にディレクトリ管理者を対象としています。

ユーザーエントリは、inetOrgPerson、organizationalPerson、および person オブジェクトクラスを使用します。
デフォルトでは、ユーザーの識別名のフォームは次のとおりです。

cn=full name, ou=organization, ...,o=base organization, c=country

たとえば、Billie Holiday のユーザーエントリを Marketing という組織単位内に作成し、ディレクトリのベース DN が o=Ace Industry、c=US の場合、このユーザーの DN は次のようになります。

cn=Billie Holiday, ou=Marketing, o=Ace Industry, c=US

ただし、この書式は、uid ベースの識別名に変更することができます。

ユーザーフォームフィールドの値は、次の LDAP 属性として格納されます (「ユーザー」と「グループ」以外の情報を格納する場合はすべて、Directory Server のフルライセンスが必要です)。

表 3-1 LDAP 属性

ユーザーフィールド	対応する LDAP 属性
Given Name (名、ファーストネーム)	givenName
Surname (姓、ラストネーム)	sn
Full Name (フルネーム)	cn
User ID (ユーザー ID)	uid
Password (パスワード)	userPassword
Email Address (電子メールアドレス)	mail

ユーザーエントリを編集する際、次のフィールドもまた使用可能です。

表 3-2 ユーザーエントリ LDAP 属性

ユーザーフィールド	対応する LDAP 属性
Title (役職名)	title
Telephone (電話)	telephoneNumber

ユーザーの名前は、デフォルト言語以外の言語の文字で表現する方がより正確に表現できる場合があります。デフォルト言語が英語の場合でも、ユーザーが使用する preferred language (言語) を選択して、ユーザー名をその言語の文字で表示することができます。ユーザーの preferred language の設定については、オンラインヘルプの」「Manage Users」ページを参照してください。

ファイルベース認証データベースの新規ユーザーの作成

Sun ONE Web Server 6.1 では、ユーザー情報をテキスト形式のフラットファイルに格納するネイティブ認証データベースをサポートするようになりました。ファイルベースの認証データベースは、次の種類のファイルと互換性があります。

鍵ファイルスタイルのファイル
ダイジェストスタイルのファイル
.htaccess スタイルのファイル

新規ユーザーエントリの作成

ファイルベースの認証データベースにユーザーエントリを作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New User」リンクをクリックします。
「Select Directory service」ドロップダウンリストからファイルベースのディレクトリサービスを選択し、「Select」をクリックします。
次の情報を入力します。
User ID: (必須) 一意のユーザー名を指定します。
Password: ユーザーのパスワードを指定します。
Password (again): 「Password」フィールドで入力したパスワードを確認します。
Groups: コンマで区切って指定されているグループのリストからユーザーがメンバーとなっているグループを指定します。
「Create User」をクリックします。

ダイジェストベース認証データベースの新規ユーザーの作成

ユーザーとグループの情報を暗号化された形式で格納するダイジェストベースの認証データベースにユーザーエントリを作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New User」リンクをクリックします。
「Select Directory Service」ドロップダウンリストからダイジェストベースのディレクトリサービスを選択し、「Select」をクリックします。
次の情報を入力します。
User ID: (必須) 一意のユーザー名を指定します。
Realm: このユーザーを認証するレルムを指定します。
Password: ユーザーのパスワードを指定します。
Password (again): 「Password」フィールドで入力したパスワードを確認します。
Groups: コンマで区切って指定されているグループのリストからユーザーがメンバーとなっているグループを指定します。
「OK」をクリックします。

---

ユーザーの管理

ユーザーの属性は、管理サーバーの「Manage Users」フォームから編集できます。このフォームを使用して、ユーザーエントリの検索、変更、名前の変更、削除を行なったり、ユーザーライセンスを管理したりすることができます。また、製品固有の情報を変更できる場合もあります。

Sun ONE サーバーの中には、この領域に製品固有の情報を管理するためのフォームを追加しているものもあります。たとえば、メッセージングサーバーが管理サーバー配下にインストールされている場合、メッセージングサーバー固有の情報を編集できるようにフォームが追加されています。このような追加の管理機能については、サーバーのマニュアルを参照してください。

この節では、次の内容について説明します。

ユーザー情報の検索
ユーザー情報の編集
ユーザーのパスワードの管理
ユーザーライセンスの管理
ユーザー名の変更
ユーザーの削除

ユーザー情報の検索

ユーザーエントリを編集する際は、事前に関連情報を表示する必要があります。特定のユーザー情報を検索するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Users」リンクをクリックします。
「Find User」フィールドに、編集したいエントリに関連する文字 (値) を入力します。検索フィールドに入力できる値は、次のとおりです。
名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
ユーザー ID。
電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
アスタリスク (*) を入力すると、現在ディレクトリにあるエントリがすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。

他の方法としては、「Find all users whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。

「Look within」フィールドで、エントリの検索を行う組織単位を選択します。

デフォルトは、ディレクトリのルートポイント (つまり最上位のエントリ) です。

「Format」フィールドで、「On-Screen」または「Printer」を選択します。
「Find」をクリックします。

選択された組織単位に含まれるユーザーがすべて表示されます。

検索結果テーブルで、編集したいエントリの名前をクリックします。

ユーザー編集フォームが表示されます。

必要に応じてフィールドの変更を行い、「Save Changes」をクリックします。

変更は、すぐに有効となります。

カスタム検索クエリの構築

「Find all users whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find user」検索で返される検索結果を絞り込みます。

「Find all users whose」フィールドでは、次のような検索条件を使用します。

一番左のドロップダウンリストでは、検索の基準となる属性を指定できます。

次の表は、使用可能な検索属性のオプションを示します。

表 3-3 検索属性オプション

オプション名	説明
full name (フルネーム)	各エントリのフルネームで一致しているものを検索します。
last name (ラストネーム)	各エントリのラストネーム (姓) で一致しているものを検索します。
user id (ユーザー ID)	各エントリのユーザー ID で一致しているものを検索します。
phone number (電話番号)	各エントリの電話番号で一致しているものを検索します。
email address (電子メールアドレス)	各エントリの電子メールアドレスで一致しているものを検索します。
unit name (組織単位名)	各エントリの組織単位名で一致しているものを検索します。
description	各エントリの記述で一致しているものを検索します。

中央のドロップダウンリストでは、実行する検索のタイプを選択します。

次の表は、使用可能な検索タイプのオプションを示します。

表 3-4 検索タイプのオプション

オプション名	説明
contains	部分文字列検索を実行します。指定した検索文字列を含む属性値のエントリを返します。たとえば、ユーザー名に「Dylan」が含まれているとわかっている場合、このオプションを使用して、検索文字列に「Dylan」と入力しユーザーのエントリを検索します。
is	正確に一致するものを検索します。すなわち、このオプションは完全一致検索を実行します。正確なユーザーの属性値がわかっているときには、このオプションを使用します。たとえば、ユーザー名の正確なスペルがわかっている場合は、このオプションを使用します。
isn't	属性値が検索文字列と完全一致ではないエントリをすべて返します。たとえば、ユーザー名が「John Smith」でない、ディレクトリ内のすべてのユーザーを検索したい場合、このオプションを使用します。ただし、このオプションを使用すると返されるエントリ数が膨大になるため、注意が必要です。
sounds like	近似検索、または表記の似た検索を実行します。属性のおよその値はわかっているが、スペルが正確にはわからない場合に、このオプションを使用します。たとえば、ユーザー名のスペルが、「Sarret」、「Sarette」、または「Sarett」か、不確かな場合には、このオプションを使用します。
starts with	部分文字列検索を実行します。属性値が指定した検索文字列で始まるエントリをすべて返します。たとえば、ユーザー名が「Miles」で始まるのはわかっているが、名前の残りの部分がわからない場合に、このオプションを使用します。
ends with	部分文字列検索を実行します。属性値が指定した検索文字列で終わるエントリをすべて返します。たとえば、ユーザー名が「Dimaggio」で終わるのはわかっているけれども、名前の残りの部分がわからない場合には、このオプションを使用します。

一番右側のテキストフィールドに、検索文字列を入力します。

Look Within ディレクトリ内のユーザーエントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。

ユーザー情報の編集

ユーザーエントリを変更するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
変更したい属性に対応するフィールドを編集します。

詳細は、オンラインヘルプの「Edit Users」ページを参照してください。

注	変更したい属性値が「edit user」フォームに表示されていない場合でも、変更は可能です。この場合、Directory Server の ldapmodify コマンド行ユーティリティが使用できる場合は、これを使用します。

また、このフォームからユーザーのファーストネーム、ラストネーム、およびフルネームのフィールドを変更することができますが、エントリ (エントリの識別名を含む) の名前を完全に変更するには、「Rename User」フォームを使用する必要があることに注意してください。エントリの名前の変更については、「ユーザー名の変更」を参照してください。

ユーザーのパスワードの管理

ユーザーエントリに設定するパスワードは、ユーザー認証のためにさまざまなサーバーに使用されます。

ユーザーのパスワードを変更または作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
変更を行い、「OK」をクリックします。

詳細は、オンラインヘルプの「Manage Users」ページを参照してください。

注	管理サーバーのユーザーを、root からオペレーティングシステム上の別のユーザーに変更できます。これにより、同じグループに属する複数のユーザーが設定ファイルを編集、管理できるようになります。ただし、UNIX/Linux プラットフォームの場合は、インストーラが任意のグループに設定ファイルの「rw」 (読み書き) を許可しますが、Windows プラットフォームの場合は、ユーザーは「Administrators」グループに属している必要があります

ユーザーのパスワードは、「Disable Password」ボタンをクリックして無効にすることができます。こうすることで、そのユーザーのディレクトリエントリを削除せずに、そのユーザーがサーバーへログインできなくすることができます。このユーザーに再度アクセスを許可するには、「Password Management」フォームを使用して、新しいパスワードを入力します。

ユーザーライセンスの管理

管理サーバーを使用して、ユーザーが使用許可のライセンスを持っている Sun ONE サーバー製品を調べることができます。

ユーザーが使用可能なライセンスを管理するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
「User Edit」フォームの上部にある「Licenses」リンクをクリックします。
変更を行い、「OK」をクリックします。

詳細は、オンラインヘルプの「Manage Users」ページを参照してください。

ユーザー名の変更

名前の変更機能は、ユーザーの名前だけ変更します。他のフィールドは変更されません。また、ユーザーの古い名前は残されたままなので、古い名前で検索しても新しいエントリが表示されます。

ユーザーエントリ名を変更する場合、変更できるのはユーザー名だけです。名前の変更機能を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。たとえば、Marketing と Accounting という組織単位があり、「Billie Holiday」というエントリが Marketing 組織単位に属していると仮定します。エントリの名前は、Billie Holiday から Doc Holiday に変更できますが、Marketing 組織単位所属の Billie Holiday を Accounting 組織単位所属の Billie Holiday にするようエントリの名前を変更することはできません。

ユーザーエントリの名前を変更するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。

共通名ベースの DN を使用している場合は、ユーザーのフルネームを指定するようにしてください。UID ベースの識別名を使用している場合は、エントリに使用したい新規の UID 値を入力します。

「Rename User」ボタンをクリックします。
エントリの新しい識別名に合わせて、「Given Name」、「Surname」、「Full Name」または「UID」フィールドを変更します。
エントリ名を変更するときに keepOldValueWhenRenaming パラメータを「false」に設定すれば、古いフルネームや古い UID 値を今後保持しないよう管理サーバーに指示できます。このパラメータは、次のファイルにあります。

server_root/admin-serv/config/dsgw-orgperson.conf

詳細は、オンラインヘルプの「Manage Users」ページを参照してください。

ユーザーの削除

ユーザーエントリを削除するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
「Delete User」をクリックします。

詳細は、オンラインヘルプの「Manage Users」ページを参照してください。

---

グループの作成

グループは、LDAP データベースにおいてオブジェクトのセットを表現するオブジェクトです。Sun ONE Web Server グループは、共通する属性を共有する複数のユーザーで構成されています。たとえば、会社のマーケティング部門で働く多数の従業員がオブジェクトのセットになります。この従業員たちは、「Marketing」というグループに属します。

グループのメンバーシップを定義するには、スタティックな方法とダイナミックな方法の 2 つがあります。スタティックグループは、メンバーオブジェクトを明示的に列挙します。スタティックグループは CN であり、uniqueMembers、memberURLs、memberCertDescriptions のいずれかまたはそのすべてが含まれます。スタティックグループでは、メンバーは、CN=<Groupname> 属性以外の共通の属性は共有しません。

ダイナミックグループでは、LDAP URL を使用してグループメンバーだけと一致させるための規則セットを定義できます。ダイナミックグループでは、メンバーは共通属性、または memberURL フィルタに定義される属性セットを共有します。たとえば、Sales 部門のすべての従業員を含むグループが必要で、全員がすでに「ou=Sales,o=Airius.com」の下の LDAP に含まれている場合は、次の memberurl を使用してダイナミックグループを定義します。

ldap:///ou=Sales,o=sun??sub?(uid=*)

このグループは、「ou=Sales,o=sun」ポイントの下のツリーで、uid 属性を持つすべてのオブジェクト、つまりすべての Sales メンバーを持つことになります。

スタティックおよびダイナミックグループで、memberCertDescription を使用している場合は、メンバーは証明書から共通の属性を共有できます。ただし、これは、ACL が SSL メソッドを使用している場合だけ有効となります。

新規グループを作成したら、このグループにユーザーやメンバーを追加することができます。

この節では、次の内容について説明します。

スタティックグループ
ダイナミックグループ

スタティックグループ

管理サーバーを使って、複数ユーザーの DN の中に、同じグループ属性を指定して、スタティックグループを作成できます。スタティックグループは、ユーザーの追加や削除を実行しないかぎり、変更されることはありません。

スタティックグループ作成のガイドライン

新規のスタティックグループを作成するために管理サーバーのフォームを使用するときには、次のガイドラインを考慮してください。

スタティックグループには、その他のスタティックグループまたはダイナミックグループを含めることができます。
また、任意で、新規グループに説明を追加できます。
組織単位がディレクトリにすでに定義されている場合、「Add New Group To」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント (つまり最上位のエントリ) です。
必要な情報の入力が終わったら、「Create Group」をクリックして新規グループを追加すると、ただちに「New Group」フォームの画面に戻ります。別の方法として、「Create and Edit Group」をクリックしグループを追加して、追加したグループの「Edit Group」フォームに進む方法もあります。グループの編集については、「グループ属性の編集」を参照してください。

スタティックグループを作成するには

スタティックグループエントリを作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New Group」リンクをクリックします。
必要な情報を入力し、「OK」をクリックします。

詳細は、オンラインヘルプの「New Group」ページを参照してください。

ダイナミックグループ

1 つのダイナミックグループは、groupOfURLs に対応する 1 つの objectclass、0 個以上の memberURL 属性、および、それぞれのオブジェクトのセットを説明する LDAP URL を持ちます。

Sun ONE Web Server では、任意の属性に基づいてユーザーを自動的にグループ化する場合、または一致する DN を含む特定のグループに ACL を適用する場合に、ダイナミックグループを作成できます。たとえば、department=marketing という属性を持つ任意の DN を自動的に含めるグループを作成することができます。department=marketing に検索フィルタを適用すると、検索結果は、department=marketing 属性を含むすべての DN からなるグループを返します。次に、このフィルタに基づいて検索結果からダイナミックグループを定義できます。さらに、結果として生成されるダイナミックグループの ACL を定義できます。

この節では、次の内容について説明します。

Sun ONE Web Server がダイナミックグループを実装するしくみ
スタティックでダイナミックなグループ
ダイナミックグループがサーバーパフォーマンスに与える影響
ダイナミックグループ作成のガイドライン
ダイナミックグループを作成するには

Sun ONE Web Server がダイナミックグループを実装するしくみ

Sun ONE Web Server は、ダイナミックグループを objectclass = groupOfURLs として LDAP サーバースキーマ内に実装します。groupOfURLS クラスは、複数の memberURL 属性を持つことができます。この属性は、それぞれがディレクトリ内のオブジェクトセットを列挙する LDAP URL から構成されます。グループのメンバーは、これらのセットの組み合わせです。たとえば、次のグループには 1 つのメンバー URL だけが含まれます。

ldap:///o=mcom.com??sub?(department=marketing)

この例は、部署名が「marketing」である「o=mcom.com」の下のすべてのオブジェクトから構成されるセットを示しています。LDAP URL は、検索ベース DN、スコープ、フィルタを含むことができますが、ホスト名とポートを含むことはできません。つまり、同じ LDAP サーバー上のオブジェクトだけを参照できます。すべてのスコープがサポートされます。

グループに DN を個別に追加しなくても、すべての DN が自動的に含まれます。Sun ONE Web Server は ACL 検証でグループルックアップが必要になるたびに LDAP サーバー検索を行うため、グループはダイナミックに変化します。ACL ファイルで使用されるユーザー名とグループ名は、LDAP データベース内のオブジェクトの cn 属性に対応します。

注	Sun ONE Web Server は cn (commonName) 属性を ACL のグループ名として使用します。

ACL から LDAP データベースへのマッピングは、dbswitch.conf 設定ファイル (ACL データベース名と実際の LDAP データベース URL を関連付けます) と ACL ファイル (どの ACL でどのデータベースが使用されるかを定義します) の両方に定義されます。たとえば、「staff」というグループのメンバーシップに基本アクセス権を設定する場合、ACL コードは groupOf<anything> というオブジェクトクラスを持ち、CN が「staff」に設定されているオブジェクトを検索します。オブジェクトは、メンバー DN を明示的に列挙するか (スタティックグループの groupOfUniqueNames と同様)、または LDAP URL を指定することによって (たとえば groupOfURLs)、グループのメンバーを定義します。

スタティックでダイナミックなグループ

グループは、objectclass = groupOfUniqueMembers と objectclass = groupOfURLs の両方の属性を持つことにより、「uniqueMember」属性と「memberURL」属性の両方を有効にできます。グループのメンバーシップには、スタティックなメンバーとダイナミックなメンバーが混在します。

ダイナミックグループがサーバーパフォーマンスに与える影響

ダイナミックグループを使用した場合、サーバーのパフォーマンスに影響が生じます。グループメンバーシップをテストするときに、DN がスタティックグループのメンバーではない場合、Sun ONE Web Server はデータベースのベース DN に含まれるすべてのダイナミックグループをチェックします。Sun ONE Web Server は、ベース DN とスコープをユーザーの DN と比較して各 memberURL が一致するかどうかを調べ、次にユーザー DN をベース DN とし、memberURL のフィルタを使用してベース検索を実行することで、このチェックを行います。この処理では、膨大な数の検索が行われることがあります。

ダイナミックグループ作成のガイドライン

新規のダイナミックグループを作成するために管理サーバーのフォームを使用するときには、次のガイドラインを考慮します。

ダイナミックグループに他のグループを含めることはできません。
グループの LDAP URL は、次の形式で入力します (ホストとポートの情報は無視されるので、これらのパラメータは指定しません)

ldap:///<basedn>?<attributes>?<scope>?<(filter)>

次の表で、必須パラメータについて説明します。

表 3-5 ダイナミックグループの必須パラメータ 

パラメータ名	説明
<base_dn>	検索ベースの識別名 (DN)。すべての検索は、LDAP ディレクトリ内のこのポイントより下で実行されます。多くの場合、このパラメータは、「o=mcom.com」のようにディレクトリのサフィックスまたはルートに設定されます。
<attributes>	検索によって返される属性のリスト。複数の属性を指定するときは、属性をコンマで区切ります (たとえば「cn,mail,telephoneNumber」)。属性を指定しない場合、すべての属性が返されます。このパラメータは、グループメンバーシップのチェックでは無視されることに注意してください。
<scope>	検索のスコープ。次のいずれかの値を指定します。 base: URL に指定された識別名 (<base_dn>) に関する情報だけを取得します。 one: URL に指定された識別名 (<base_dn>) の 1 レベル下のエントリに関する情報を取得します。このスコープにはベースエントリは含まれません。 sub: URL に指定された識別名 (<base_dn>) の下のすべてのレベルのエントリに関する情報を取得します。このスコープにはベースエントリが含まれます。 これは必須パラメータです。
<(filter)>	検索の指定スコープ内のエントリに適用される検索フィルタ。管理サーバーのフォームを使用する場合は、この属性を指定する必要があります。( ) で囲む必要があるので注意してください。 これは必須パラメータです。

<attributes>、<scope>、および <(filter)> パラメータは、URL 内の位置で識別されます。どの属性も指定しない場合でも、そのフィールドに疑問符を含める必要があります。

また、任意で、新規グループに説明を追加できます。
組織単位がディレクトリにすでに定義されている場合、「Add New Group To」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント (つまり最上位のエントリ) です。
必要な情報の入力が終わったら、「Create Group」をクリックして新規グループを追加すると、ただちに「New Group」フォームの画面に戻ります。別の方法として、「Create and Edit Group」をクリックしグループを追加して、追加したグループの「Edit Group」フォームに進む方法もあります。グループの編集については、「グループ属性の編集」を参照してください。

ダイナミックグループを作成するには

ディレクトリ内にダイナミックグループエントリを作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New Group」リンクをクリックします。
「Type of Group」ドロップダウンリストから「Dynamic Group」を選択します。
必要な情報を入力し、「OK」をクリックします。

詳細は、オンラインヘルプの「New Group」ページを参照してください。

---

グループの管理

管理サーバーを使用して、「Manage Groups」フォームからグループを編集したり、グループのメンバーシップを管理したりできます。この節では、次の内容について説明します。

グループエントリの検索
グループ属性の編集
グループメンバーの追加
グループメンバーリストへのグループの追加
グループメンバーリストからのエントリの削除
所有者の管理
See Also の管理
グループの削除
グループの名前の変更

グループエントリの検索

グループエントリを編集する前に、エントリを検索して表示する必要があります。

グループエントリを検索するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックします。
検索するグループ名を「Find Group」フィールドに入力します。

検索フィールドに入力できる値は、次のとおりです。

名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
アスタリスク (*) を入力すると、ディレクトリにある現在の組織単位がすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。

他の方法としては、「Find all groups whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。

「Look within」フィールドで、エントリの検索を行う組織単位を選択します。

デフォルトは、ディレクトリのルートポイント (つまり最上位のエントリ) です。

「Format」フィールドで、「On-Screen」または「Printer」を選択します。
「Find」をクリックします。

検索条件に一致するグループがすべて表示されます。

検索結果テーブルで、編集したいエントリの名前をクリックします。

Find all groups whose フィールド

「Find all groups whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find groups」で返される検索結果を絞り込みます。

Look Within ディレクトリ内のグループエントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。

カスタム検索フィルタを構築する方法については、「カスタム検索クエリの構築」を参照してください。

グループ属性の編集

グループエントリを編集するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックします。
編集したいグループを特定し、必要な箇所を変更します。

特定のエントリの検索については、「グループエントリの検索」で説明されている内容を参照してください。

注	管理サーバーのユーザーを、root からオペレーティングシステム上の別のユーザーに変更できます。これにより、同じグループに属する複数のユーザーが設定ファイルを編集、管理できるようになります。ただし、UNIX/Linux プラットフォームの場合は、インストーラが任意のグループに設定ファイルの「rw」 (読み書き) を許可しますが、Windows プラットフォームの場合は、ユーザーは「Administrators」グループに属している必要があります。

グループ属性の編集については、オンラインヘルプの「Manage Groups」ページを参照してください。

注	変更したい属性値が「group edit」フォームに表示されていない場合でも、変更は可能です。この場合、Directory Server の ldapmodify コマンド行ユーティリティが使用できる場合は、これを使用します。

グループメンバーの追加

グループにメンバーを追加するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックします。
「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Group Members」の下の「Edit」ボタンをクリックします。

Sun ONE Web Server に、エントリ検索のための新しいフォームが表示されます。リストにユーザーエントリを追加する場合、「Users 」が「Find」のドロップダウンメニューに表示されていることを確認します。グループにグループエントリを追加する場合、必ず「Group」が表示されていることを確認します。

一番右側のテキストフィールドに、検索文字列を入力します。次のオプションのうち、いずれかを入力します。
名前。フルネーム、または名前の一部を入力します。検索文字列と名前が一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
ユーザーエントリを検索する場合は、ユーザー ID
電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
現在ディレクトリ内にあるエントリまたはグループをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。
任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
「Find and Add」をクリックして、一致するすべてのエントリを検索し、グループにこのエントリを追加します。

グループに追加する必要のないエントリが返された場合は、「Remove from list?」列内のボックスをクリックします。また、削除したいエントリに一致する検索フィルタを作成して、「Find and Remove」をクリックすることもできます。

グループメンバーのリストが完成したら、「Save Changes」をクリックします。

現在表示されているエントリがグループのメンバーとなります。

グループメンバーの追加については、オンラインヘルプの「Edit Members」ページを参照してください。

グループメンバーリストへのグループの追加

グループのメンバーリストには、個々のメンバーではなく、グループを追加することができます。グループを追加すると、追加されたグループに属するユーザーは、追加先のグループのメンバーになります。たとえば、Neil Armstrong が「Engineering Managers」グループのメンバーであり、この「Engineering Managers」グループを「Engineering Personnel」グループのメンバーにする場合、Neil Armstrong は、「Engineering Personnel」グループのメンバーにもなります。

グループを別のグループのメンバーリストへ追加するには、ユーザーエントリと同様に、グループを追加します。詳細は、「グループメンバーの追加」を参照してください。

グループメンバーリストからのエントリの削除

グループメンバーリストからエントリを削除するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Group Members」の下の「Edit」ボタンをクリックします。
リストから削除したい各メンバーについて、「Remove from list?」列の下の、対応するボックスをクリックします。

ほかに、削除したいエントリを検索するフィルタを作成して、「Find and Remove」をクリックする方法もあります。検索フィルタの作成については、「グループメンバーの追加」を参照してください。

「Save Changes」をクリックします。エントリが、グループメンバーリストから削除されます。

所有者の管理

グループの所有者リストは、グループメンバーリストと同様の方法で管理します。詳細についての参照先は、次の表に示します。

表 3-6 追加情報

タスク	参照先
グループに所有者を追加する	「グループメンバーの追加」
所有者リストにグループを追加する	「グループメンバーリストへのグループの追加」
所有者リストからエントリを削除する	「グループメンバーリストからのエントリの削除」

See Also の管理

「See Also」(関連項目) は、現在のグループに関連のある、他のディレクトリのエントリへの参照です。「See Also」を使用して、現在のグループと関連のあるユーザーや他のグループのエントリを簡単に見つけることができます。

「See Also」は、グループメンバーリストと同様の方法で管理します。詳細についての参照先は、次の表に示します。

表 3-7 追加情報

タスク	参照先
「See Also」にユーザーを追加する	「グループメンバーの追加」
「See Also」にグループを追加する	「グループメンバーリストへのグループの追加」
「See Also」からエントリを削除する	「グループメンバーリストからのエントリの削除」

グループの削除

グループを削除するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Delete Group」をクリックします。

注	管理サーバーは、グループエントリだけを削除します。削除したグループに属する個々のメンバーは削除されません。

グループの名前の変更

グループの名前を変更するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定します。
「Rename Group」ボタンをクリックして、表示されたダイアログボックスに新しいグループの名前を入力します。

グループエントリ名を変更する場合、変更できるのはグループの名前だけです。グループ名の変更機能 (Rename Group) を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。たとえば、ある企業には次のような組織があるとします。

Marketing および Product Management という組織単位
Marketing という組織単位の下に Online Sales というグループ

この例では、Online Sales というグループ名を Internet Investments に変更することはできますが、Marketing という組織単位の下の Online Sales を、Product Management という組織単位の下の Online Sales にするようエントリの名前を変えることはできません。

---

組織単位の作成

組織単位には、複数のグループを含めることができ、それらは通常、部、課などの業務グループを表します。DN は、複数の組織単位に存在させることができます。

組織単位を作成するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「New Organizational Unit」リンクをクリックし、必要な情報を入力します。

詳細は、オンラインヘルプの「New Organizational Unit」ページを参照してください。

次の項目は、主にディレクトリ管理者を対象としています。

新規の組織単位は、organizationalUnit オブジェクトクラスを使用して作成します。
新規の組織単位の識別名のフォームは次のとおりです。

ou=new organization, ou=parent organization, ...,o=base organization, c=country

たとえば、Accounting という新規の組織を、組織単位 West Coast 内に作成する場合、ベース DN が o=Ace Industry、c=US とすると、新規の組織単位の DN は、次のようになります。

ou=Accounting, ou=West Coast, o=Ace Industry, c=US

---

組織単位の管理

組織単位の編集や管理には、「Organizational Unit Edit」フォームを使用します。この節では、次のタスクについて説明します。

組織単位の検索
組織単位の属性の編集
組織単位名の変更
組織単位の削除

組織単位の検索

組織単位を検索するには、次の手順を実行します。

管理サーバーにアクセスして、「Users & Groups」タブを選択します。
「Manage Organizational Units」リンクをクリックします。
検索する組織単位の名前を「Find Organizational Units」フィールドに入力します。検索フィールドに入力できる値は、次のとおりです。
名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
アスタリスク (*) を入力すると、ディレクトリにある現在の組織単位がすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。

他の方法としては、「Find all units whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。

「Look within」フィールドで、エントリの検索を行う組織単位を選択します。

デフォルトでは、ディレクトリのルートポイントとなります。

「Format」フィールドで、「On-Screen」または「Printer」を選択します。
「Find」をクリックします。

検索条件に一致する組織単位がすべて表示されます。

検索結果テーブルで、編集したい組織単位の名前をクリックします。

Find all units whose フィールド

「Find all units whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find organizational unit」で返される検索結果を絞り込みます。

Look Within ディレクトリ内の組織単位エントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。

カスタム検索フィルタを構築する方法については、「カスタム検索クエリの構築」を参照してください。

組織単位の属性の編集

組織単位のエントリを変更するには、管理サーバーにアクセスし、次の手順を実行します。

「組織単位の検索」で説明されているように、編集したい組織単位を特定します。

組織単位編集フォームが表示されます。

必要に応じてフィールドの変更を行い、「Save Changes」をクリックします。

変更は、すぐに有効となります。

注	変更したい属性値が「organizational unit edit」フォームに表示されていない場合でも、変更は可能です。この場合、Directory Server の ldapmodify コマンド行ユーティリティが使用できる場合は、これを使用します。

組織単位名の変更

組織単位エントリの名前を変更するには、管理サーバーにアクセスし、次の手順を実行します。

削除したい組織単位の下のディレクトリには、他のエントリが何も入っていないことを確認します。
「組織単位の検索」で説明されているように、編集したい組織単位を特定します。
「Rename」ボタンをクリックします。
表示されたダイアログボックスに新しい組織単位名を入力します。

注	組織単位エントリの名前を変更する場合、変更できるのは組織単位の名前だけです。名前の変更機能を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。詳細は、を参照してください。「組織単位名の変更」で説明されているように、編集したい組織単位を特定します。

組織単位の削除

組織単位エントリを削除するには、管理サーバーにアクセスし、次の手順を実行します。

削除したい組織単位の下のディレクトリには、他のエントリが何も入っていないことを確認します。
「組織単位の検索」で説明されているように、削除したい組織単位を特定します。
「Delete」ボタンをクリックします。
表示される確認ボックスで、「OK」をクリックします。

組織単位がすぐに削除されます。

前へ      目次      索引      次へ

---

Copyright 2004 Sun Microsystems, Inc. All rights reserved.