前へ      目次      索引      次へ
Sun™ Identity Manager 8.0 リソースリファレンス

---

LDAP

Identity Manager は、Lightweight Directory Access Protocol (LDAP) v3 をサポートするリソースアダプタを提供します。このアダプタのクラス名は、com.waveset.adapter.LDAPResourceAdapter です。

LDAPアダプタは、標準 LDAP インストールのプロビジョニングサービスを提供します。LDAP サーバーのレプリケーションの更新履歴ログを読み取り、それらの変更を Identity Manager ユーザーまたはカスタムワークフローに適用することもできます。

注	LDAP ChangeLog Active Sync アダプタおよび LDAP リスナー Active Sync は非推奨になりました。これらのアダプタのすべての機能は、LDAP リソースアダプタに統合されました。

リソースを設定する際の注意事項

LDAP アダプタで使用するための Sun Java^TM System Directory Server リソースを設定するには、サーバーを設定して更新履歴ログを有効にし、変更情報の追跡を有効にします。この操作は、ディレクトリサーバーの設定タブで行います。

「レプリケーション」フォルダをクリックし、更新履歴ログを有効にします。5.0 以降のサーバーでは、RetroChangelog スナップインも有効にします。設定タブで、プラグインオブジェクトに移動し、旧バージョン形式の更新履歴ログプラグインを選択して有効にします。
新規作成または変更されたエントリの特殊な属性を維持するようにサーバーが設定されていることを確認するには、Directory Server コンソールの「設定」タブをクリックし、左側の区画でナビゲーションツリーのルートエントリを選択します。
「設定」サブタブをクリックし、「エントリの変更時間を記録」ボックスにチェックマークが付いていることを確認します。

サーバーは、イベントが Identity Manager から起動されたかどうかを判断するために、新しく作成または変更したエントリに、次の属性を追加します。

creatorsName: そのエントリを最初に作成したユーザーの DN。
modifiersName: そのエントリを最後に変更したユーザーの DN。

自己署名付き証明書が実装されたディレクトリサーバーに SSL 経由で接続するには、次の手順を実行します。

CA 証明書をディレクトリサーバーから一時ファイルにエクスポートします。たとえば、Sun Java^TM System Directory Server の場合は、次のコマンドを入力します。

certutil -L -d DB_Directory -P slapd-HostName- -n Nickname -a > ds-cert.txt

この証明書をキーストアにインポートします。

cd $JAVA_HOME/jre/lib/security

keytool -import -file PathTo/ds-cert.txt -keystore ./cacerts
-storepass changeit -trustcacerts

Identity Manager 上で設定する際の注意事項

このリソースでは、追加のインストール手順は必要ありません。

使用上の注意

ここでは、LDAP リソースアダプタの使用に関する情報を示します。次のトピックで構成されています。

全般的な注意事項
Directory Server 向けの仮想リスト表示のサポート
ADAM のサポート

LDAP リソース上のパスワード同期の有効化については、「LDAP パスワードの同期」を参照してください。

全般的な注意事項

LDAP に接続するときは、管理者アカウント CN=Directory Manager を使用するのではなく、Identity Manager サービスアカウントを作成するようにしてください。LDAP Directory Server 管理ツールを使用して、各ベースコンテキストで ACI (アクセス制御命令) を介してアクセス権を設定します。

ACI でのアクセス権をソースに基づいて設定します。アダプタからアイデンティティー情報の源泉となるソースに接続する場合は、読み取り、検索、および (場合によっては) 比較のアクセス権のみを設定します。アダプタを書き戻し用に使用する場合は、書き込みと (場合によっては) 削除のアクセス権を設定します。

注	更新履歴ログの監視にアカウントを使用する場合は、cn=changelog で ACI も作成するようにしてください。更新履歴ログのエントリに対しては書き込みも削除もできないため、アクセス権は読み取りと検索のみに設定するとよいでしょう。

LDAP アダプタは、別名を管理できます。ただし、getUser の呼び出しが実行される場合、別名が逆参照されて、アダプタは参照先オブジェクトを返します。結果として、アダプタは別名オブジェクト自体の属性を検索しません。

これは、JNDI のデフォルトが次の設定になっているために発生します。

java.naming.ldap.derefAliases=always

このプロパティーは、次の行が含まれる jndi.properties ファイルを作成することでグローバルに変更できます。

java.naming.ldap.derefAliases=never

jndi.properties ファイルは、Java ライブラリパス ($WSHOME/WEB-INF/classes など) に配置する必要があります。変更を有効にするために、アプリケーションサーバーを再起動します。

同期ポリシーを編集するときは、「変更者フィルタ」フィールドの値を指定してください。標準の値は、このアダプタで使用される管理者の名前です。管理者の名前を入力すると、無限ループが発生することを防ぐことができます。エントリの形式は、cn=Directory Manager です。

Directory Server 向けの仮想リスト表示のサポート

注	ここでは、Identity Manager が RootDN 以外のユーザーとして LDAP リソースに接続することを前提としています。RootDN ユーザーとして接続する場合は、ここで説明する手順を適用できますが、ほかの LDAP 属性値でも可能な場合があります。詳細は、Directory Server のマニュアルを参照してください。 Microsoft ADAM でこの機能を有効にする方法については、「ADAM スキーマの修正」を参照してください。

Directory Server では、検索できる LDAP エントリの数と取得できる LDAP エントリの数を、それぞれ nsLookThroughLimit 属性と nsslapd-sizelimit 属性によって定義します。nsLookThroughLimit のデフォルト値は 5,000 ですが、nsslapd-sizelimit のデフォルトは 2,000 です。どちらの属性も、-1 を設定することにより制限を無効にできます。これらの属性の値を変更した場合は、Directory Server を再起動してください。

必ずしもデフォルト値を変更した方がよいとは限りません。LDAP 検索のパフォーマンスを向上させるために、LDAP 仮想リスト表示 (VLV) コントロールを有効にできます。VLV は、一度にすべての検索結果を返さず、検索結果の一部を返します。

「ブロックを使用」リソース属性を使用すると、VLV コントロールの使用によって Identity Manager のクエリー結果を常にサイズ制限の範囲内に収めることができます。「ブロック数」リソース属性は、取得するユーザーの数を指定しますが、この値は nsslapd-sizelimit 属性に設定された値より小さいかまたは等しい値にする必要があります。

VLV インデックス (参照インデックスとも呼ばれる) を作成してください。作成しないと、nsslapd-sizelimit によるサイズ制限が有効なままになります。VLV インデックスによってアカウントの反復処理のパフォーマンスが大幅に向上するため、調整、リソースからの読み込み、またはファイルへのエクスポートを頻繁に行う予定である場合は、インデックスを設定するようにしてください。

VLV インデックスの作成の詳細な手順については、Directory Server のマニュアルを参照してください。基本的なプロセスは次のとおりです。

次のプロパティーを持つ vlvsearch オブジェクトを作成します。

vlvbase: YourBaseContext

vlvfilter: (&(objectclass=top)(objectclass=person)
(objectclass=organizationalPerson) (objectclass=inetorgperson))

vlvscope: 2

vlvbase 属性は、「ベースコンテキスト」リソース属性に指定した値と一致させてください。vlvfilter 属性には、「オブジェクトクラス」リソース属性に指定したクラスを、ここに示した形式で含めてください。vlvscope の値 2 は、サブツリー検索を示します。

vlvindex コンポーネントを vlvsearch のサブオブジェクトとして作成します。vlvsort 属性を uid に設定してください。
vlvindex コマンドまたはほかのメカニズムを使用して、VLV インデックスを構築します。
ACI (アクセス制御命令) を介して次の項目のアクセス権を設定します。
vlvsearch オブジェクト
vlvindex
インデックスが作成されたディレクトリ

更新履歴ログの VLV を設定するには、次の一般的な手順に従います。詳細な手順については、Directory Server のマニュアルを参照してください。

更新履歴ログの参照インデックスをまだ作成していない場合は、作成します。Directory Server のユーザーインタフェースを使用すると、デフォルトで、"MCC cn=changelog" という名前の vlvsearch オブジェクトと "SN MCC cn=changelog" という名前の vlvindex オブジェクトが作成されます。
アクセス制御命令 (ACI) を介してアクセス権を設定し、Identity Manager アカウントが次の項目の読み取り、比較、および検索の権限を持つようにします。
更新履歴ログ (cn=changelog)
vlvsearch オブジェクト (cn="MCC cn=changelog",cn=config,cn=ldbm)
vlvindex オブジェクト ("SN MCC cn=changelog",cn=config,cn=ldbm)

注	Directory Server の一部のバージョンでは、更新履歴ログの nsLookThroughLimit 属性に 5,000 という値がハードコードされます。更新履歴ログの検索制限に達しないようにするには、サーバーに保持される更新履歴ログのエントリの最大数を 5,000 未満に制限します。更新履歴ログのエントリが消失しないようにするには、アダプタのポーリング頻度を短い間隔に設定します。

アカウントの無効化と有効化

LDAP アダプタには、LDAP リソース上のアカウントを無効にするための方法が複数用意されています。アカウントを無効にするには、次のいずれかの手法を使用します。

パスワードを不明な値に変更する

アカウントのパスワードを不明な値に変更することによってアカウントを無効にするには、「LDAP アクティブ化メソッド」フィールドと「LDAP アクティブ化パラメータ」フィールドを空白のままにします。これは、アカウントを無効にするときのデフォルトの方法です。無効になったアカウントは、新しいパスワードを割り当てることによって再度有効にできます。

nsmanageddisabledrole ロールを割り当てる

nsmanageddisabledrole LDAP ロールを使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole,baseContext に設定します。(IDMAttribute は、次の手順でスキーマに指定します。)
「アカウント属性」ページで、IDMAttribute を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。この属性のタイプは文字列にしてください。
LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。

これで、LDAP アカウントを無効にできます。LDAP コンソールを使用して検証するには、nsaccountlock 属性の値を確認します。値が true であれば、アカウントはロックされています。

あとでアカウントが再度有効にされると、ロールからアカウントが削除されます。

nsAccountLock 属性を設定する

nsAccountLock 属性を使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

「リソースパラメータ」ページで、「LDAP アクティブ化メソッド」フィールドを nsaccountlock に設定します。
「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=true に設定します。(IDMAttribute は、次の手順でスキーマに指定します。) たとえば accountLockAttr=true とします。
「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定した属性 (たとえば、accountLockAttr) を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。この属性のタイプは文字列にしてください。
リソース上で、nsAccountLock LDAP 属性を true に設定します。

アカウントを無効化すると、Identity Manager は、nsaccountlock を true に設定します。また、すでに nsaccountlock が true に設定されていた LDAP ユーザーについても、無効と見なします。nsaccountlock の値が true 以外の値 (NULL を含む) に設定されている場合、そのユーザーは有効であるとみなします。

nsmanageddisabledrole 属性や nsAccountLock 属性を使用せずにアカウントを無効にする

使用中のディレクトリサーバーでは nsmanageddisabledrole 属性や nsAccountLock 属性を使用できないが、アカウントを無効にする同様の方法がある場合は、「LDAP アクティブ化メソッド」フィールドに次のいずれかのクラス名を入力します。LDAP アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。

クラス名	使用する状況
com.waveset.adapter.util. ActivationByAttributeEnableFalse	ディレクトリサーバーは、属性を false に設定することによってアカウントを有効にし、属性を true に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。
com.waveset.adapter.util. ActivationByAttributeEnableTrue	ディレクトリサーバーは、属性を true に設定することによってアカウントを有効にし、属性を false に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。
com.waveset.adapter.util. ActivationByAttributePullDisablePushEnable	Identity Manager は、LDAP から属性と値のペアを引き出すことによってアカウントを無効にし、LDAP に属性と値のペアをプッシュすることによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。
com.waveset.adapter.util. ActivationByAttributePushDisablePullEnable	Identity Manager は、LDAP に属性と値のペアをプッシュすることによってアカウントを無効にし、LDAP から属性と値のペアを引き出すことによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。
com.waveset.adapter.util. ActivationNsManagedDisabledRole	ディレクトリは、特定のロールを使用してアカウントステータスを決定します。このロールにアカウントが割り当てられている場合、そのアカウントは無効になります。 このロール名をスキーママップに追加します。次に、「LDAP アクティブ化パラメータ」フィールドに次の形式で値を入力します。 IDMAttribute=CN=roleName,baseContext IDMAttribute は、スキーママップの左側に定義されている、ロールの Identity Manager 名です。

ADAM のサポート

LDAP アダプタは、Microsoft の Application Directory Application Mode (ADAM) にプロビジョニングするように設定できます。次のそれぞれの節では、ADAM のサポートを有効にする方法について説明します。

ADAM スキーマの修正
ADAM でのアカウントの有効化と無効化

Active Sync は ADAM でサポートされていません。

ADAM スキーマの修正

Identity Manager で使用するために ADAM スキーマの調整が必要なことがあります。リソーススキーマ、および LDAP リソースのアイデンティティーテンプレートには、一意の識別子 (またはアカウント ID) への参照が含まれることがあります。ADAM は、次の点がその他の LDAP 実装と異なります。

ADAM では、オブジェクトクラス定義は、単一の命名属性だけを許容します。命名属性は、DN の一番左にある RDN コンポーネントに現れる属性です。
uid 属性は、複数値として定義されます。
cn 属性は、単一値として定義され、64 文字以下にする必要があります。

ADAM スキーマは、属性インデックス設定を定義します。スキーマの各属性定義エントリには searchFlags 属性があります。たとえば Uid は、スキーマコンテキストの cn=Uid,cn=Schema に位置します。searchFlags 属性は、ビットマスクであり、値 1 (インデックス作成)、2 (コンテナごとのインデックス作成)、および 64 (効率的な VLV クエリをサポートするインデックス) はインデックス作成に関連します。

LDAP リソースアダプタを使用した調整では、VLV ソート属性が ADAM でインデックス作成される必要があります。

ADAM インスタンスでスキーマを更新する詳細は、Microsoft のマニュアルを参照してください。

ADAM でのアカウントの有効化と無効化

次の手順に従って、Identity Manager が ADAM のアカウントを有効および無効にできるようにします。

「LDAP リソースパラメータ」ページで、「LDAP アクティブ化メソッド」パラメータを com.waveset.adapter.util.
ActivationByAttributePushDisablePullEnable に設定します。
「LDAP アクティブ化パラメータ」を Identity_System_Attribute=true に設定します。アイデンティティーシステム属性は、次の手順で「アカウント属性」ページで指定します。たとえば MyUserAccountDisabled=true とします。
「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドに指定したアイデンティティーシステム属性をアイデンティティーシステムユーザー属性として追加します。リソースユーザー属性を msDS-UserAccountDisabled に設定します。この属性のタイプは文字列にしてください。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TCP/IP または SSL 経由の Java Naming and Directory Interface (JNDI) を使用して LDAP アダプタと通信します。

TCP/IP を使用する場合は、「リソースパラメータ」ページでポート 389 を指定します。
SSL を使用する場合は、ポート 636 を指定します。

必要な管理特権

「ユーザー DN」リソースパラメータに値 cn=Directory Manager を指定すると、Identity Manager 管理者には、LDAP アカウント管理に必要なアクセス権が付与されます。別の識別名を指定する場合は、そのユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前の変更	使用可
パススルー認証	使用可
前アクションと後アクション	使用不可
データ読み込みメソッド	リソースから直接インポート リソースの調整

アカウント属性

属性がサポートされるかどうかは、通常、属性の構文 (または型) によって決まります。一般に、Identity Manager は boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。

次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。

LDAP 構文	属性タイプ	オブジェクト ID
Audio	Binary	1.3.6.1.4.1.1466.115.121.1.4
Binary	Binary	1.3.6.1.4.1.1466.115.121.1.5
Boolean	Boolean	1.3.6.1.4.1.1466.115.121.1.7
Country String	String	1.3.6.1.4.1.1466.115.121.1.11
DN	String	1.3.6.1.4.1.1466.115.121.1.12
Directory String	String	1.3.6.1.4.1.1466.115.121.1.15
Generalized Time	String	1.3.6.1.4.1.1466.115.121.1.24
IA5 String	String	1.3.6.1.4.1.1466.115.121.1.26
Integer	Int	1.3.6.1.4.1.1466.115.121.1.27
Postal Address	String	1.3.6.1.4.1.1466.115.121.1.41
Printable String	String	1.3.6.1.4.1.1466.115.121.1.44
Telephone Number	String	1.3.6.1.4.1.1466.115.121.1.50

デフォルトのアカウント属性

次の属性は、LDAP リソースアダプタの「アカウント属性」ページに表示されます。特に記載されていないかぎり、属性の型はすべて String です。

アイデンティティーシステムの属性	リソース ユーザー属性	LDAP 構文	説明
accountId	uid	Directory string	ユーザー ID
accountId	cn	Directory string	必須。 ユーザーのフルネーム。
firstname	givenname	Directory string	ユーザーの名。
lastname	sn	Directory string	必須。 ユーザーの姓。
modifyTimeStamp	modifyTimeStamp	Generalized time	ユーザーエントリが変更された日時を示します。
パスワード	userPassword	Octet string	暗号化された値。 ユーザーのパスワード。

グループ管理属性

次の表に示すアカウント属性は、デフォルトではスキーマに表示されません。グループを管理するには、これらの属性をスキーママップに追加してください。

アイデンティティーシステムの属性	リソース ユーザー属性	LDAP 構文	説明
user defined	ldapGroups	ldapGroups	LDAP ユーザーがメンバーになっているグループの識別名のリスト。 リソース属性である「グループメンバー属性」では、ユーザーの識別名を含むように更新される LDAP グループエントリの属性を指定します。「グループメンバー属性」のデフォルト値は、uniquemember です。
user defined	posixGroups	N/A	LDAP ユーザーがメンバーになっている posixGroups エントリの識別名のリスト。 アカウントに Posix グループのメンバーシップを割り当てるには、そのアカウントが uid LDAP 属性の値を持っている必要があります。posixGroup エントリの memberUid 属性は、ユーザーの uid を含むように更新されます。

スキーママップに posixGroups または ldapGroups が定義されている場合は、次の動作に注意してください。

LDAP アカウントが削除されると、Identity Manager はすべての LDAP グループからそのアカウントの DN を削除し、すべての posixGroups からそのアカウントの uid を削除します。
アカウントの uid が変更されると、Identity Manager は、該当する posixGroups 内で、古い uid を新しい uid で置き換えます。
アカウントの名前が変更されると、Identity Manager は、該当する LDAP グループ内で、古い DN を新しい DN で置き換えます。

Person オブジェクトクラス

次の表に、LDAP Person オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。Person オブジェクトクラスに定義されている属性の一部は、デフォルトで表示されます。

アイデンティティーシステムの属性	リソース ユーザー属性	LDAP 構文	説明
description	Directory string	String	ユーザーの特定の関心事についての簡潔でわかりやすい説明
seeAlso	DN	String	ほかのユーザーへの参照
telephoneNumber	Telephone number	String	第一電話番号

Organizationalperson オブジェクトクラス

次の表に、LDAP organizationalPerson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、Person オブジェクトクラスから属性を継承することもできます。

リソースユーザー属性	LDAP 構文	属性タイプ	説明
destinationIndicator	Printable string	String	この属性は、電報サービスに使用されます。
facsimileTelephoneNumber	Facsimile telephone number	String	第一 FAX 番号。
internationaliSDNNumber	Numeric string	String	オブジェクトに関連付けられた国際 ISDN 番号を指定します。
l	Directory string	String	都市、国、その他の地理的領域などの地域の名前
ou	Directory string	String	組織単位の名前
physicalDeliveryOfficeName	Directory string	String	配達物の送付先となるオフィス。
postalAddress	Postal address	String	ユーザーの勤務先オフィスの所在地。
postalCode	Directory string	String	郵便配達用の郵便番号。
postOfficeBox	Directory string	String	このオブジェクトの私書箱番号。
preferredDeliveryMethod	Delivery method	String	受取人への優先される送付方法
registeredAddress	Postal Address	String	受信者に配達を受け入れてもらう必要がある電報や速達文書の受け取りに適した郵便の宛先。
st	Directory string	String	州名または都道府県名。
street	Directory string	String	郵便の宛先の番地部分。
teletexTerminalIdentifier	Teletex Terminal Identifier	String	オブジェクトに関連付けられたテレテックス端末の識別子
telexNumber	Telex Number	String	国際表記法によるテレックス番号
title	Directory string	String	ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq.や DDS などの敬称には使用されません。
x121Address	Numeric string	String	オブジェクトの X.121 アドレス。

inetOrgPerson オブジェクトクラス

次の表に、LDAP inetOrgPerson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、organizationalPerson オブジェクトクラスから属性を継承することもできます。

アイデンティティーシステムの属性	リソース ユーザー属性	LDAP 構文	説明
audio	Audio	Binary	オーディオファイル。
businessCategory	Directory string	String	組織で実施されているビジネスの種類。
carLicense	Directory string	String	自動車の登録番号 (ナンバープレート)
departmentNumber	Directory string	String	組織内の部署を特定します
displayName	Directory string	String	エントリを表示するときに優先的に使用されるユーザーの名前
employeeNumber	Directory string	String	組織内の従業員を数値で示します
employeeType	Directory string	String	従業員、契約社員などの雇用形態
homePhone	Telephone number	String	ユーザーの自宅電話番号。
homePostalAddress	Postal address	String	ユーザーの自宅住所。
initials	Directory string	String	ユーザーのフルネームの各部のイニシャル
jpegPhoto	JPEG	Binary	JPEG 形式のイメージ。
labeledURI	Directory string	String	ユーザーに関連付けられた URI (Universal Resource Indicator) とオプションのラベル。
mail	IA5 string	String	1 つ以上の電子メールアドレス。
manager	DN	String	ユーザーのマネージャーのディレクトリ名。
mobile	Telephone number	String	ユーザーの携帯電話番号。
o	Directory string	String	組織の名前。
pager	Telephone number	String	ユーザーのポケットベル番号。
preferredLanguage	Directory string	String	優先される、ユーザーの書き言葉または話し言葉の言語。
roomNumber	Directory string	String	ユーザーのオフィスまたは部屋の番号。
secretary	DN	String	ユーザーの管理補佐のディレクトリ名。
userCertificate	certificate	Binary	バイナリ形式の証明書。

リソースオブジェクトの管理

Identity Manager は、デフォルトで次の LDAP オブジェクトをサポートします。文字列ベース、整数ベース、またはブールベースの属性も管理できます。

リソースオブジェクト	サポートされる機能	管理される属性
Group	作成、更新、削除、名前の変更、名前を付けて保存	cn、description、owner、uniqueMember
Posix Group	作成、更新、削除、名前の変更、名前を付けて保存	cn、description、gid、memberUid
Domain	検索	dc
Organizational Unit	作成、削除、名前の変更、名前を付けて保存、検索	ou
Organization	作成、削除、名前の変更、名前を付けて保存、検索	o

LDAP リソースアダプタは、posixGroup エントリの管理機能を提供します。デフォルトでは、posixGroup に割り当てることができるアカウントのリストに posixAccount オブジェクトクラスが含まれています。LDAP Create Posix Group Form と LDAP Update Posix Group Form をカスタマイズして、posixAccount 以外のアカウントを一覧表示できます。ただし、これらのアカウントに対して、posixGroup のメンバーになるための uid 属性を定義する必要があります。

アイデンティティーテンプレート

このリソースのアイデンティティーテンプレートを指定する必要があります。

サンプルフォーム

組み込みのフォーム

LDAP Create Group Form
LDAP Create Organization Form
LDAP Create Organizational Unit Form
LDAP Create Person Form
LDAP Create Posix Group Form
LDAP Update Group Form
LDAP Update Organization Form
LDAP Update Organizational Unit Form
LDAP Update Person Form
LDAP Update Posix Group Form

その他の利用可能なフォーム

LDAPActiveSyncForm.xml
LDAPGroupCreateExt.xml
LDAPGroupUpdateExt.xml
LDAPgroupScalable.xml
LDAPPasswordActiveSyncForm.xml

LDAPGroupCreateExt.xml フォームと LDAPGroupUpdateExt.xml フォームには、一意でないメンバー名を入力できます。

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスのうち 1 つ以上でトレースオプションを設定します。

com.waveset.adapter.LDAPResourceAdapterBase
com.waveset.adapter.LDAPResourceAdapter

前へ      目次      索引      次へ

---

Part No: 820-5456.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.