LDAP サーバーを使用した Enterprise Manager ユーザーの管理

Enterprise Manager を設定して、ユーザー管理に LDAP サーバーを使用することができます。

次の LDAP サーバーがサポートされています。

• Sun Java System Directory Server version 5.1、5.2、および 6.x

• Microsoft の Active Directory (Windows Server 2003 とともに配布されているバージョン)

• OpenLDAP Directory Server 2.x

最初に LDAP サーバーを設定します。次に、Enterprise Manager サーバーを設定して、LDAP サーバーを特定し、適切な情報 (ディレクトリのうちユーザーが格納されている領域など) を見つけることができるようにします。

『Java CAPS ユーザーの管理』には、Enterprise Manager ユーザーの管理に関する基本的な情報が記載されています。

Sun Java System Directory Server の設定

Sun Java System Directory Server version 5.1 および 5.2 には、次の主要コンポーネントが含まれています。

• ディレクトリサーバー

• 管理サーバー

• ディレクトリサーバーコンソール

ディレクトリサーバーコンソールを使用すると、ほとんどの管理タスクを実行できます。コンソールには、「タスク」、「設定」、「ディレクトリ」、および「ステータス」という 4 つの最上位タブがあります。「ディレクトリ」タブには、ディレクトリエントリがツリー形式で表示されます。このタブから、すべてのエントリと属性を参照、表示、および編集することができます。

設定ファイルを編集するか、コマンド行ユーティリティーを使用することによって、管理タスクを手動で実行することもできます。

Sun Java System Directory Server version 6.x には、ディレクトリのエントリを管理するための次の方法が用意されています。

• Directory Service Control Center (DSCC)

• ディレクトリエディタ

• ldapmodify および ldapdelete コマンド行ユーティリティー

DSCC は Sun Java^TM Web Console に組み込まれています。DSCC には、「共通タスク」、「ディレクトリサーバー」、「プロキシサーバー」、「サーバーグループ」、および「設定」という 5 つの最上位タブがあります。

「ディレクトリサーバー」タブ、サーバーの名前、「エントリの管理」タブの順にクリックすると、エントリの参照、追加、および変更を行うことのできるページに到達します。左側にディレクトリ情報ツリー (DIT) が表示されます。

「共通タスク」タブを使用して、新規エントリを作成したりデータを参照したりすることもできます。

次に示す手順を実行する方法の詳細については、Sun Java System Directory Server に付属のマニュアルを参照してください。

Sun Java System Directory Server を設定する

1. admin ユーザーと Administrator ユーザーを People ディレクトリの下に作成します。

2. 最上位ノードの下に次のロールを作成します。

   • 配備

   • ユーザー管理

   • 読み取り専用モニター

   • 制御モニター

   • JMS 読み取り専用モニター

   • JMS 読み書きモニター

   • マネージャー

3. 作成したロールを admin ユーザーと Administrator ユーザーに割り当てます。

4. 「Enterprise Manager サーバーの設定」 に進みます。

Active Directory サービスの設定

Active Directory は Windows 2000 の重要な部分です。Active Directory は管理容易性、セキュリティー、および相互運用性に関連するさまざまな機能を提供します。主要な管理ツールは、「Active Directory ユーザーとコンピュータ」と呼ばれるスナップインです。

Active Directory はロールの概念をサポートしていません。そのため、Active Directory では「グループ」の概念を使用して Enterprise Manager のロールのシミュレーションを行う必要があります。

次に示す手順を実行する方法の詳細については、Active Directory に付属のマニュアルを参照してください。

Active Directory サービスを設定する

1. 「Active Directory ユーザーとコンピュータ」管理ツールを起動します。

2. ルートノードを右クリックし、「新規作成」、「組織単位」の順に選択します。

   「新しいオブジェクト - 組織単位 (OU)」ダイアログボックスが表示されます。

3. 「名前」フィールドに値 (EntMgrRoles など) を入力します。

4. 「OK」をクリックします。

5. 組織単位の下に次のグループを作成します。

   • 配備

   • ユーザー管理

   • 読み取り専用モニター

   • 制御モニター

   • JMS 読み取り専用モニター

   • JMS 読み書きモニター

   • マネージャー

   グループを追加すると、それらが組織単位の下に表示されます。

6. 作成したすべてのグループにメンバーとして admin ユーザーと Administrator ユーザーを追加します。そのためには、各グループをダブルクリックし、ダイアログボックスから admin と Administrator を選択します。

7. 「Enterprise Manager サーバーの設定」 に進みます。

OpenLDAP Directory Server の設定

OpenLDAP プロジェクトでは、LDAP プロトコルのオープンソース実装が提供されています。LDAP サーバーは、slapd と呼ばれるスタンドアロンデーモンとして実行されます。主要な設定ファイルは slapd.conf と呼ばれます。このファイルには、グローバルな情報、バックエンド固有の情報、およびデータベース固有の情報が含まれています。データベースにエントリを追加するには、slapadd プログラムなどのさまざまな方法を使用できます。データベースを検索するには、ldapsearch プログラムを使用します。

詳細については、http://www.openldap.org を参照してください。

次に示す手順を実行する方法の詳細については、OpenLDAP Directory Server に付属のマニュアルを参照してください。

OpenLDAP Directory Server を設定する

1. ユーザーが置かれているノードの下に admin ユーザーと Administrator ユーザーを作成します。

2. 使用しているスキーマにロール用のノードがない場合は、次の手順で作成する Enterprise Manager のロール用にノードを作成します。

3. ロールが置かれているノードの下に、次のロールを作成します。

   • 配備

   • ユーザー管理

   • 読み取り専用モニター

   • 制御モニター

   • JMS 読み取り専用モニター

   • JMS 読み書きモニター

   • マネージャー

4. 各ロールに admin ユーザーと Administrator ユーザーを一意のメンバーとして追加します。

5. 必要に応じて、ほかのユーザーを 1 つまたは複数のロールに追加します。

6. 「Enterprise Manager サーバーの設定」 に進みます。

Enterprise Manager サーバーの設定

LDAP サーバーの設定が完了したら、Enterprise Manager サーバーを設定して、LDAP サーバーを特定し、適切な情報を見つけることができるようにします。

Enterprise Manager のファイル web.xml および ldap.properties を編集する必要があります。

Enterprise Manager サーバーを設定する

1. Enterprise Manager のサーバーコンポーネントをシャットダウンします。

2. JavaCAPS-install-dir/emanager/server/webapps/sentinel/WEB-INF ディレクトリにある web.xml ファイルを開きます。

3. 次の行を見つけます。

   <param-name>com.stc.emanager.sentinel.authHandler</param-name> <param-value>com.stc.cas.auth.provider.tomcat.TomcatPasswordHandler</param-value>

4. パラメータ値を次のように変更します。

   <param-value>com.stc.cas.auth.provider.ldap.LDAPHandler</param-value>

5. web.xml ファイルを保存します。

6. JavaCAPS-install-dir/emanager/server/webapps/sentinel/WEB-INF/classes ディレクトリにある ldap.properties ファイルを開きます。

7. 次の表に、ldap.properties ファイルに出現するすべてのプロパティーを示します。使用している LDAP サーバーに対応するセクションのプロパティーを編集し、プロパティーがコメントアウトされていないことを確認します。

   プロパティー	説明
   com.stc.sentinel.auth.ldap.serverType	LDAP サーバーのタイプ。
   com.stc.sentinel.auth.ldap.serverUrl	LDAP サーバーの URL。
   com.stc.sentinel.auth.ldap.searchFilter	ユーザーエントリのユーザー ID 属性の名前。
   com.stc.sentinel.auth.ldap.searchBase	LDAP ディレクトリのうち、Enterprise Manager がユーザーを検索する領域のルートエントリ。
   com.stc.sentinel.auth.ldap.searchScope	現在、このプロパティーは使用されていません。
   com.stc.sentinel.auth.ldap.bindDN	LDAP サーバーへの接続に使用するセキュリティープリンシパル。
   com.stc.sentinel.auth.ldap.bindPassword	セキュリティープリンシパルのパスワード。
   com.stc.sentinel.auth.ldap.referral	LDAP リフェラルポリシー。デフォルト値は follow で、LDAP リフェラルを自動的にたどることを示します。LDAP サーバーでリフェラルが使用可能になっている必要があります。その他の有効な値は、throw (リフェラル例外の場合) および ignore です。 このプロパティーは省略可能です。  このプロパティーは、Active Directory および OpenLDAP のプロパティーセットだけに出現します。
   com.stc.sentinel.auth.ldap.roleAttribute	ユーザーエントリのロール名属性の名前。
   com.stc.sentinel.auth.ldap.roleBaseDN	LDAP ディレクトリのうち、Enterprise Manager がロールを検索する領域のルートエントリ。  このプロパティーは、OpenLDAP のプロパティーセットだけに出現します。
   com.stc.sentinel.auth.ldap.rolePattern	これを使用すると、ロール名のパターンマッチングを設定できます。LDAP ディレクトリで、Enterprise Manager ユーザーをほかのユーザーとは異なるカテゴリに配置することができます。  このプロパティーは、Active Directory のプロパティーセットだけに出現します。

8. ldap.properties ファイルを保存します。

9. Enterprise Manager のサーバーコンポーネントを起動します。