|
| |
| Sun Java Enterprise System 2004Q2 配備実例集: 評価のシナリオ | |
第 4 章
評価配備用のユーザー管理この章では、LDAP 組織を設定する方法と Messaging Server、Calendar Server、および Portal Server にログインできるユーザーアカウントをプロビジョニングする方法について説明します。この章で説明する内容は、次のとおりです。
Java Enterprise System ユーザー管理についてこの章では、ユーザー管理の 3 つの側面を説明します。
- ユーザー管理ユーティリティの設定。Directory Server のデフォルトインスタンスの操作を行うために、ユーザー管理ユーティリティを設定します。
- LDAP 組織の管理。メッセージングサービス、カレンダサービス、およびポータルサービス用の認証に必要な LDAP 属性とオブジェクトクラスを追加します。
- ユーザーアカウントのプロビジョニング。LDAP 組織内に、エンドユーザーのアカウントを表す LDAP エントリを作成します。組織ではスキーマ 2 が使用されるので、1 つのユーザーエントリには、設定したメッセージングサービス、カレンダサービス、およびポータルサービスにログインするために必要なすべての LDAP 属性とオブジェクトクラスが含まれます。
ユーザー管理ユーティリティの設定ここでは、ユーザー管理ユーティリティの設定について説明します。ユーザー管理ユーティリティの設定では、次の作業を行います。
Identity Server ユーザー管理ユーティリティを設定するには
- ユーザー管理ユーティリティのディレクトリに移動します。
cd /opt/SUNWcomm/sbin
- 次のコマンドを実行して、設定ウィザードを起動します。
./config-iscli
設定ウィザードの「ようこそ」ページが表示されます。
- 「次へ」をクリックします。
「設定およびデータファイルの格納先ディレクトリを選択」ページが表示されます。
- 「次へ」をクリックしてデフォルトの設定データディレクトリを受け入れます。
「Create New Directory」ダイアログボックスが表示されます。
- 「ディレクトリを作成」をクリックします。
「設定するコンポーネントを選択」ページが表示されます。
- コンポーネントの「Commcli Client」および「Commcli Server」の両方が選択されていることを確認します。「次へ」をクリックします。
「ISHostPort」ページが表示されます。
- 「Hostname」と「Port」のデフォルト値に evaluation_host 上の Identity Server インスタンスが指定されていることを確認します。
- 「次へ」をクリックしてデフォルトの値を受け入れます。
「Default SSL Port for Commcli Client」が表示されます。
- 「次へ」をクリックしてデフォルトの値を受け入れます。
「Identity Server Base Directory」ページが表示されます。
- 「次へ」をクリックしてデフォルトの値を受け入れます。
「Directory (LDAP) Server」ページが表示されます。
- 次の操作を行って、デフォルトの Directory Server インスタンスを特定します。
- 次の操作を行います。
- 次の操作を行います。
- デフォルトの値が evaluation_host 上の Web Server インスタンスであることを確認します。次のような値が表示されます。
/opt/SUNWwbsvr/evaluation_host
「次へ」をクリックします。「Organization DN for the Default Domain」が表示されます。
- デフォルトの組織 DN に、Messaging Server 設定ウィザードで作成された LDAP 組織が指定されていることを確認します。
次のような値が表示されます。
o=example.com,dc=example,dc=com
「次へ」をクリックします。「Top Level Administrator for the Default Organization」ページが表示されます。
- 次の操作を行います。
- 設定の概要を確認します。
「今すぐ設定」をクリックします。「作業シーケンスを起動中」ページが表示されます。設定が完了すると、「シーケンスを完了」ページが表示されます。
- メッセージを確認し、ユーザー管理ユーティリティが正しく設定されたことを確認します。次のメッセージが表示されます。
All Tasks Completed
「次へ」をクリックします。「Web Server Restart」ダイアログボックスが表示されます。
- 「了解」をクリックします。
「インストールサマリ」ページが表示されます。
- 「インストールサマリ」ページで、設定の詳細を確認します。
「閉じる」をクリックします。設定ウィザードが閉じます。
- Web Server デフォルトインスタンスのディレクトリに移動します。ディレクトリ名には、Web Server をインストールしたシステムの完全修飾名が含まれます。
cd /opt/SUNWwbsvr/https-evaluation_host
- 次のコマンドを実行して、Web Server を停止します。
./stop
- 次のコマンドを実行して、Web Server を起動します。
./start
Web Server により、一連の起動メッセージが表示されます。起動プロセスには、しばらく時間がかかることがあります。起動が完了すると、次のメッセージが表示されます。
startup: server started successfully
デフォルトの Directory Proxy Server インスタンスの操作を行うための、ユーザー管理ユーティリティの設定はこれで完了です。
メールサービス、カレンダサービス、およびポータルサービス用の LDAP 組織の設定ユーザーが Java ES サービスにログインしようとすると、サービスにより LDAP 認証が実行され、サービスを使用する権限がユーザーにあるかどうかが判別されます。LDAP 認証では、サービスに対するアクセスが許可されていることを示す特定のオブジェクトクラスと属性が、ユーザーの LDAP データに含まれているかどうかが調べられます。
Java ES サービスごとに、認証に使用されるオブジェクトクラスと属性の集合があります。
認証に使用される LDAP オブジェクトクラスと属性は、LDAP 組織にユーザーアカウントを作成する前に、組織に追加します。属性とオブジェクトクラスの追加は、スキーマの拡張と呼ばれます。
ここでは、メッセージングサービス、カレンダサービス、およびポータルサービスの認証に使用されるオブジェクトクラスと属性で LDAP 組織のスキーマを拡張する方法を説明します。
メッセージングサービスおよびカレンダサービス用に LDAP 組織のスキーマを拡張するには
- ユーザー管理ユーティリティのディレクトリに移動します。
cd /opt/SUNWcomm/bin
- commadmin domain modify コマンドを次のように使用して、LDAP 組織を拡張します。
./commadmin domain modify -D admin -w password -S mail -H evaluation_host -S cal -B evaluation_host -P allowProxyLogin:yes -T America/Los_Angeles
- DNS ドメイン名の入力を要求するプロンプトが表示される場合があります。その場合は、evaluation_domain を入力して Enter キーを押します。
このコマンドにより、LDAP 組織に対するメールサービスおよびカレンダサービスの認証に必要な LDAP 属性とオブジェクトクラスが追加されます。
ポータルサービス用に LDAP 組織のスキーマを拡張するには
ここでは、Identity Server コンソールを使用して、ポータルサービスを LDAP 組織に登録します。
- Web ブラウザで、次の URL を開きます。
http://evaluation_host/amconsole
Identity Server コンソールのログインページが表示されます。
- 管理ユーザー ID (amadmin) とパスワード (password) を入力します。「了解」をクリックします。
Identity Server 管理コンソールがブラウザに表示されます。デフォルトでは、「アイデンティティ管理」タブが選択され、LDAP ドメインに関する情報が表示されます。
図 4-1 Sun Java System Identity Server コンソール
図 4-1 は、例のドメインに関する情報が表示されている管理コンソールを示しています。
- 左区画の「アイデンティティ管理」タブの真下に、ドメイン名が表示され、強調表示されます。
- 左区画には、ドメイン内の LDAP 組織もリスト表示されます。図 4-1 では、example.com 組織がリスト表示されています。
- LDAP 組織の名前をクリックします。
図 4-2 と同様の画面が表示されます。左区画のタイトルバーに、ドメインと LDAP 組織が表示されます。
図 4-2 組織の選択
- 左区画で、「表示」ドロップダウンメニューを開き、「サービス」を選択します。
左区画に、LDAP 組織用に登録されているサービスのリストが表示されます。図 4-3 と同様の画面が表示されます。初めは、LDAP 組織用に登録されたサービスはありません。
図 4-3 LDAP 組織のサービスの表示
- 「追加」をクリックします。
右区画に登録可能なサービスのリストが表示されます。
- Portal Server 設定サービスを登録します。次のサービスを選択します。
- コンソールウィンドウを開いたままにしておきます。
メッセージングサービス、カレンダサービス、およびポータルサービス用の LDAP 属性とオブジェクトクラスのディレクトリツリーへの追加はこれで完了です。
エンドユーザーアカウントのプロビジョニングここでは、ユーザー管理ユーティリティおよび Identity Server コンソールを使用してユーザーアカウントをプロビジョニングする方法を説明します。ユーザー ID とパスワードを持つ LDAP ユーザーエントリを設定し、ポータルサービス、メールサービス、およびカレンダサービスに対するユーザーアクセスを許可します。
運用システムでは、Java ES 管理者がユーザーを管理します。LDAP 組織計画、LDAP データベース管理、および委任管理を含むユーザー管理タスクは、この章では説明されません。
エンドユーザーアカウントを作成するには
- ユーザー管理ユーティリティのディレクトリに移動します。
cd /opt/SUNWcomm/bin
- 次のコマンドを実行して、ユーザーアカウントを作成し、そのアカウントをメッセージングサービスおよびカレンダサービス用にプロビジョニングします。
./commadmin user create -D admin -w password -l TestUser -F Test -L User -W password -S mail -H evaluation_host -E test.user@evaluation_domain -S cal -B evaluation_host -J 0 -T America/Los_Angeles
ポータルサービス用にエンドユーザーアカウントをプロビジョニングするには
- Identity Server コンソールに戻ります。
- 左区画で、「表示」ドロップダウンメニューを開き、「ユーザー」を選択します。
左区画に、LDAP 組織内のユーザーのリストが表示されます。図 4-4 と同様の画面が表示されます。リストには、これまでの手順で作成したユーザーが含まれます。
図 4-4 テストユーザーの選択
- 新規ユーザーを選択します。
デフォルトでは、「Store Administrator」ユーザーが選択されています。ユーザーのリストで、「TestUser」を見つけます。ユーザー名に続く矢印記号 (>) をクリックします。必要な場合は、左区画を右にスクロールします。
右ページに、テストユーザーのユーザープロパティが表示されます。
- 新規ユーザー用に登録されているサービスを表示します。
右区画で、「表示」ドロップダウンメニューを開き、「サービス」を選択します。
右区画に、そのユーザー用に登録されているサービスのリストが表示されます。図 4-5 と同様の画面が表示されます。初めは、テストユーザー用に登録されているサービスはありません。
図 4-5 テストユーザーのサービスの表示
- 追加可能なサービスのリストを表示します。
右区画で「追加」をクリックします。右区画に、LDAP 組織で利用可能であるものの、テストユーザー用に登録されていないサービスのリストが表示されます。
- 新規ユーザー用にポータルサービスを追加します。次のサービスを選択します。
- コンソールからログアウトします。
ユーザーアカウントを作成し、そのアカウントをメッセージジングサービス、カレンダサービス、およびポータルサービス用にプロビジョニングする作業はこれで完了です。
