ユーザー管理仕様の作成

Java ES コンポーネントをインストールおよび設定すると、LDAP スキーマと LDAP ディレクトリツリーの両方が作成されます。ここでは、ソリューションをインストールおよび設定するときに入力する値によって、ディレクトリスキーマとディレクトリツリー構造が確立される仕組みについて説明します。スキーマおよびディレクトリツリー構造の仕様は、インストールが開始する前に作成する必要があります。また、インストール計画では、指定されたスキーマおよびディレクトリツリー構造を作成する入力値を列挙する必要があります。

ディレクトリツリー構造とスキーマは、ソリューションが提供するサービスに対応している必要があります。ここでは、利用可能なオプションの基本的な説明と、各オプションがサポートするサービスを示します。ただし、この節の主な目的は、指定されたスキーマおよびディレクトリツリー構造を作成するために、インストールおよび設定ツールのための入力値を選択する方法について説明することです。

スキーマの選択とディレクトリツリーの設計の詳細については、『Sun Java System Directory Server 5 2005Q1 Deployment Plannning Guide』や『Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide』などのマニュアルを参照してください。

ソリューションの LDAP スキーマの指定

Directory Server を使用する Java ES ソリューションは、スキーマ 1 およびスキーマ 2 として知られる、標準 LDAP スキーマの 2 つのバージョンのどちらかを使用できます。ソリューションのユーザー管理仕様では、ソリューションでスキーマ 1 とスキーマ 2 のどちらを使用するかを指定します。インストール計画での設定値により、インストールプロセスが正しいスキーマを確実に作成するようにします。

スキーマ 2 は、Access Manager の使用と、Access Manager のシングルサインオン機能をサポートします。シングルサインオンを使用するソリューションでは、スキーマ 2 を使用する必要があります。

インストールプロセスでは、指定されたスキーマのディレクトリを次のように設定します。

• スキーマ 1 ディレクトリを確立するには、単に Directory Server をインストールします。スキーマ 1 はデフォルトのスキーマバージョンです。

• スキーマ 2 ディレクトリを確立するには、Directory Server および Access Manager をインストールします。Access Manager をインストールすると、ディレクトリが変更され、そのディレクトリがスキーマ 2 ディレクトリに変換されます。

  ---

  ヒント –

  1 回のインストーラセッションで Directory Server と Access Manager を 1 台のコンピュータにインストールすると、ディレクトリはスキーマ 2 用に設定されます。

  分散構成のソリューションでは、まず 1 台のコンピュータに Directory Server がインストールされます。次に、Access Manager が別のコンピュータにインストールされます。インストーラの入力値では、Access Manager のインストール先として既存のディレクトリが指定されているため、ディレクトリのスキーマが変更されます。

  ---

ソリューションによっては、スキーマを拡張するための次の手順が必要な場合があります。

• ソリューションで Messaging Server または Calendar Server、あるいはその両方を使用する場合、インストールプロセスで Directory Preparation Tool を使用して、いくつかの追加スキーマ拡張を適用する必要があります。これらの拡張は、Messaging Server または Calendar Server がインストールされる前に適用されます。それらの拡張はスキーマ 1 ディレクトリまたはスキーマ 2 ディレクトリのどちらかに適用できます。Directory Preparation Tool を実行するための指示をインストール計画に追加する方法については、「Messaging Server」を参照してください。インストール計画には、Directory Preparation Tool を実行するための指示が含まれます。

• ソリューションでスキーマ 2 を使用する場合、インストールプロセスでは、メッセージングサービスおよびカレンダサービスに必要な Access Manager による認証と承認をサポートするために、Delegated Administrator によるいくつかの追加スキーマ拡張を適用する必要があります。これらのスキーマ拡張を適用するコマンドの例については、『Sun Java Enterprise System 2005Q1 Deployment Example Series: Evaluation Scenario』の第 7 章「User Management for the Evaluation Solution」を参照してください。インストール計画には、これらのスキーマ拡張のための指示が含まれます。これらの拡張は、Delegated Administrator がインストールおよび設定されたあと (ただし、Delegated Administrator がユーザーデータを 1 つでも追加する前) に適用されます。スキーマを拡張するための指示をインストール計画に追加する方法については、「Delegated Administrator 用の手順をインストール計画に追加する」を参照してください。

LDAP スキーマ仕様は、ソリューションで使用されるスキーマと、ソリューションによって必要とされるすべてのスキーマ拡張を識別します。インストール計画には、正しいスキーマを確立し、指定された任意のスキーマ拡張を実行する手順が含まれます。

ソリューションのディレクトリツリー構造の指定

Java ES ソリューションの LDAP ディレクトリは、ソリューションでユーザーデータを組織化する必要性に応じて、簡単な場合もあれば複雑な場合もあります。LDAP ディレクトリはその性質上、構造的には柔軟です。Java ES ではディレクトリの構造は特に定められていませんが、あらかじめ指定された構造がインストールと設定のプロセスを通じて実装されます。構造はインストールと設定のプロセスの開始前に指定する必要があり、指定されたディレクトリ構造を作成する入力値をインストール計画でリストする必要があります。

インストールと設定のプロセスでは、次のようにしてディレクトリ構造が確立されます。

1. インストーラを実行して Directory Server をインストールするためには、ディレクトリのベースサフィックス (ルートサフィックスまたはルート DN とも呼ばれる) の入力値が必要です。Java ES インストーラは、入力値を使用してディレクトリのベースサフィックスを確立します。インストール計画にはベースサフィックス名が含まれます。

   ---

   ヒント –

   Messaging Server または Calendar Server を使用しない、ディレクトリツリーが単純なソリューションでは、ユーザーおよびグループのデータをベースサフィックスの直下に保存できます。

   ---

2. Messaging Server の設定ウィザードを実行して Messaging Server インスタンスを作成するためには、LDAP 組織 DN の入力値が必要です。設定ウィザードによってディレクトリツリーが分岐され、ウィザードでの DN 入力を使用して LDAP 組織が作成されます。この組織は、Messaging Server インスタンスによって管理される電子メールドメインを表します。ウィザードでは、ユーザーおよびグループデータ用に Messaging Server インスタンスが使用する電子メールドメイン組織も設定します。インストール計画には、電子メールドメイン組織の DN も含まれます。このプロセスによって作成されるディレクトリツリー構造の例については、図 2–3 を参照してください。この例では、インストーラによって作成されるベースサフィックスは o=examplecorp です。Messaging Server の設定ウィザードによって作成される電子メールドメイン組織は、o=examplecorp.com,o=examplecorp です。

3. Calendar Server、Communications Express、Instant Messaging、および Delegated Administrator の設定ウィザードでは、LDAP DN の入力値が必要となります (ウィザードでの表示名は異なる場合がある)。ソリューションでシングルサインオンを使用する場合、すべての設定ウィザードで同じ値が入力されます。入力値は、Messaging Server のウィザードによって作成される電子メールドメイン組織です。この設定では、すべてのコンポーネントがユーザーデータの保存および検索場所として同じ LDAP 組織を使用する、という結果になります。ユーザーに関するすべての情報を単一のディレクトリエントリに保存でき、Access Manager のシングルサインオン機能を使用できます。

図 2–3 は、このプロセスによって作成されるディレクトリツリー構造の例を示したものです。この例では、Java ES インストーラによってベースサフィックス o=examplecorp が確立され、Messaging Server の設定ウィザードによって組織 o=examplecorp.com,o=examplecorp が追加されました。この組織は、examplecorp.com という名前の電子メールドメインを表します。メールドメインのユーザーデータは ou=people,o=examplecorp.com,o=examplecorp に保存されます。ソリューション内のほかの Java ES コンポーネントも、ユーザーデータを ou=people,o=examplecorp.com,o=examplecorp から検索するように設定されます。

図 2–3 LDAP ディレクトリツリーの例

図 2–3 に示したディレクトリツリーを作成するために、ベースサフィックスの名前と、電子メールドメインを表す組織が選択され、ユーザー管理仕様に追加されます。準備された時点のインストール計画には、インストーラと設定ウィザードの所定のフィールドに、指定された LDAP 名を入力するための指示が含まれます。インストール計画に LDAP 名を追加する方法については、「Directory Server 用の設定値の選択」、「Access Manager 用の設定値の選択」、「Messaging Server 用の設定値の選択」、「Calendar Server 用の設定値の選択」、「Communications Express 用の設定値の選択」、「Instant Messaging 用の設定値の選択」、および「Delegated Administrator 用の設定値の選択」を参照してください。

ディレクトリツリーの例には 1 つのメールドメインのみが含まれます。多くのソリューションでは、ユーザーデータを組織化するために、これよりも複雑なツリーが必要です。同じインストールと設定のための基本手順で、より複雑なディレクトリ構造を確立できます。たとえば、ソリューションで必要な場合には、複数の電子メールドメインをサポートするようにディレクトリを設定できます。

複数の電子メールドメインを確立するには、Messaging Server の複数のインスタンスを設定します。各インスタンスは 1 つの電子メールドメインを管理します。

ソリューションがディレクトリとの対話に Access Manager を使用する場合、Java ES ソリューションでほかの LDAP ディレクトリを使用することが可能です。使用するディレクトリサーバーは、LDAP バージョン 3 (LDAP v3) 準拠のディレクトリサーバーである必要があります。そのようなソリューションに必要なディレクトリツリー構造の詳細については、『Sun Java System Access Manager 7 2005Q4 Technical Overview』を参照してください。