Schema 2 互換モードで LDAP ディレクトリを使用している場合、ACI をディレクトリに手動で追加して、Delegated Administrator によるディレクトリへのプロビジョニングを有効にする必要があります。次の手順に従います。
OSI ルートに次の 2 つの ACI を追加します。/opt/SUNWcomm/config ディレクトリの usergroup.ldif ファイル内に次の 2 つの ACI が見つかります。
ugldapbasedn をユーザーグループサフィックスに置き換えてください。編集した usergroup.ldif を LDAP ディレクトリに追加します。
# # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
次の 2 つの ACI を DC ツリールートサフィックスに追加します。/opt/SUNWcomm/config ディレクトリの dctree.ldif ファイル内に次の 2 つの ACI が見つかります。
dctreebasedn を DC ツリーのルートサフィックスで、また ugldapbasedn をユーザーグループサフィックスで必ず置き換えてください。編集した dctree.ldif を LDAP ディレクトリに追加します。
# # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
DC ツリーのルートサフィックスに次の ACI を追加します。これらの ACI は dctree.ldif ファイルにはありません。
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";) |
AMConfig.properties ファイルの com.iplanet.am.domaincomponent プロパティーを DC ツリーのルートサフィックスに設定します。
たとえば、< AM_base_directory>/lib/AMConfig.properties ファイルの次の行を編集します。
編集前
com.iplanet.am.domaincomponent=o=isp
編集後
com.iplanet.am.domaincomponent=o=internet
Access Manager (以前の Identity Server) の互換モードを有効にします。
Access Manager コンソールの「管理コンソールサービス」ページで、「ドメインコンポーネントツリーの有効」チェックボックスを選択して、有効にします。
inetdomain オブジェクトクラスを DC ツリーのすべてのノード (dc=com,o=internet など) に追加します。次に例を示します。
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain |
Web コンテナを再起動します。