第 11 章 Instant Messaging の LDAP アクセス設定の管理

この章では、Access Manager を使用する配備と使用しない配備のそれぞれにおいて、Instant Messaging が LDAP をどのように利用するかについて次の各節で説明します。

• 「Instant Messaging での LDAP 利用の概要」

• 「匿名でのディレクトリ検索」

• 「LDAP 動的グループを使用するめたの Instant Messaging の設定」

Instant Messaging での LDAP 利用の概要

Instant Messaging のすべての配備にはディレクトリサーバーが必要です。Sun Java^TM System Access Manager を使用しない配備では、Instant Messaging サーバーはエンドユーザー認証の実行およびエンドユーザーの検索にディレクトリサーバーを使用します。

Sun Java System Portal Server を使用する配備では、Sun Java System Portal Server が使用するディレクトリを Instant Messaging サーバーでも使用します。Access Manager 配備環境にインストールした場合、Instant Messaging サーバーは、Access Manager が使用するディレクトリをエンドユーザー検索に使用しますが、エンドユーザー認証には使用しません。Access Manager 配備では、Access Manager が認証を実行します。

LDAP ディレクトリを使ってユーザーの名前空間を管理する場合、デフォルトの設定では、このディレクトリで使用するスキーマに関して、次のような仮定がなされます。

• エンドユーザーエントリは、inetOrgPerson オブジェクトクラスによって識別される。

• グループエントリは、groupOfUniqueNames または groupofURLs オブジェクトクラスによって識別される。

• エンドユーザーの Instant Messenger ユーザー ID 属性は、(inetOrgPerson オブジェクトクラスの) uid 属性によって提供される。

• エンドユーザーの電子メールアドレスは、mail 属性によって提供される。

• エンドユーザーまたはグループの表示名は、cn 属性によって提供される。

• グループのメンバーリストは、(groupOfUniqueNames オブジェクトクラスの) uniqueMember 属性によって提供される。

これらのデフォルト設定は、iim.conf ファイルを編集することによって変更できます。「iim.conf ファイルの構文」を参照してください。

ユーザー属性のなかには機密情報を含むものもあります。非特権ユーザーによる承認されていないアクセスを防止できるようにディレクトリアクセス制御が設定されていることを確認してください。詳細は、ディレクトリのマニュアルを参照してください。

匿名でのディレクトリ検索

Instant Messaging が正しく機能するには、ディレクトリを検索できる必要があります。匿名ユーザーによる検索が可能であるようにディレクトリが設定されている場合、Instant Messaging はディレクトリを検索できます。匿名ユーザーがディレクトリの読み取りまたは検索を行えない場合、ディレクトリに対して読み取り以上のアクセス権限を持つユーザー ID の資格情報を iim.conf に設定する必要があります。それらの資格情報は、次のとおりです。

• 識別名 (dn)

• 上記の dn に対するパスワード

サーバーが特定のエンドユーザーとしてディレクトリ検索を行えるようにする

1. iim.conf 内で、次のパラメータに対する値を探します。

   • iim_ldap.usergroupbinddn - 検索時のディレクトリへのバインドに使う識別名 (dn) を指定します。

   • iim_ldap.usergroupbindcred - 識別名 (dn) に対して使うパスワードを指定します。

   たとえば、次のようになります。

   iim_ldap.usergroupbinddn="cn=iim server,o=i-zed.com"

   iim_ldap.usergroupbindcred=secret

   ---

   注 –

   ここで必要なのは、ドメインツリーに対する読み取りアクセス権のみであるため、書き込みレベルのアクセス権を持つ管理者レベルの資格情報を使用する必要はありません。したがって、読み取りレベルのアクセス権を持つ LDAP ユーザーが存在していれば、その資格情報を代わりに使用してください。そうしたほうが、管理者レベルの資格情報が拡散するのを防げるため、システムの安全性が向上します。

   ---

   iim.conf の場所、およびこのファイルに変更を加える手順については、「iim.conf ファイルの構文」を参照してください。

2. Sun Java System Access Manager を使用する配備で、匿名ユーザーによるディレクトリ検索ができない場合、次の手順に従います。

   • iim_ldap.useidentityadmin 設定パラメータを true に設定します。

   • また、次の設定パラメータは、削除もしくはコメントアウトできます。

     • iim_ldap.usergroupbinddn

     • iim_ldap.usergroupbindcred

3. iim.conf を編集します。

   iim.conf の場所、およびこのファイルに変更を加える手順については、「iim.conf ファイルの構文」を参照してください。

   iim_ldap.usergroupbinddn と iim_ldap.usergroupbindcred の各パラメータが iim.conf 内に存在しない場合、それらのパラメータをファイル内の任意の場所に追加してください。

LDAP 動的グループを使用するめたの Instant Messaging の設定

Sun Java System Directory Server やその他の LDAP サーバーでは、動的グループが DN に基づいてエンドユーザーをフィルタし、それらのユーザーを単一のグループに含めます。動的グループは、ディレクトリサーバー内の groupOfUrls オブジェクトクラスによって定義されます。

エンドユーザーが、動的グループを検索結果内に表示し、それらを連絡先一覧に追加できるようにするには、groupOfUrls オブジェクトを検索結果内に含める必要があります。

iim.conf に次の変更を行う必要があります。

動的グループを使用するための Instant Messaging の設定

1. iim.conf を開きます。

   iim.conf の場所、およびこのファイルに変更を加える手順については、「iim.conf ファイルの構文」を参照してください。

2. iim.conf に次の 3 行を追加します。

   iim_ldap.usergroupbynamesearchfilter=(|(&(| (objectclass=groupofuniquenames) (objectclass=groupofurls))) (cn={0}))(&(objectclass=inetorgperson) (cn={0}))) iim_ldap.groupbrowsefilter=(| (objectclass=groupofuniquenames) (objectclass=groupofurls)) iim_ldap.groupclass=groupOfUniqueNames,groupOfURLs

   1 行の中に改行を入れないでください。属性名およびオブジェクトクラス名は設定可能です。デフォルトでは、動的グループのメンバーシップ属性として memberOfUrls 属性が使用されます。memberOfUrls 以外の属性名を使用する場合は、その属性名を iim_ldap.groupmemberurlattr オプションに設定してください。