Sun ONE Web Server 6.1 管理者ガイド |
第 3 章
ユーザーとグループの管理この章では、Sun ONE Web Server にアクセスするユーザーとグループの追加、削除、編集について説明します。
この章には、次の内容が記述されています。
ユーザーとグループに関する情報へのアクセス管理サーバーを使用して、ユーザーアカウント、グループリスト、アクセス特権、組織単位、その他のユーザーやグループに固有の情報に関するアプリケーションデータにアクセスできます。
ユーザーとグループの情報は、テキスト形式のフラットファイル、または LDAP (Lightweight Directory Access Protocol) をサポートする Sun ONE Directory Server などのディレクトリサーバーに格納されます。LDAP は、オープンディレクトリアクセスプロトコルで、TCP/IP 上で動作し、グローバルサイズに、また百万単位のエントリにまで拡張可能です。
Sun ONE Web Server はローカル LDAP をサポートしていないため、ユーザーやグループを追加する場合、事前にディレクトリサーバーをインストールしておく必要があります。
ディレクトリサービスについてSun ONE Directory Server などのディレクトリサーバーを使用することで、単一ソースからのすべてのユーザー情報を管理できます。ディレクトリサーバーを設定すると、ネットワークに容易にアクセスできる複数の場所から、ユーザーがディレクトリ情報を取得できるようになります。
Sun ONE Web Server 6.1 では、3 種類のディレクトリサービスを設定して、ユーザーおよびグループの認証と承認を行えます。ディレクトリサービスが設定されていない場合、作成される新しいディレクトリサービスには、種類に関係なく default という値が設定されます。
ディレクトリサービスを作成すると、ディレクトリサービスの詳細によって server-root/userdb/dbswitch.conf ファイルが更新されます。
ディレクトリサービスの種類
Sun ONE Web Server 6.1 がサポートするディレクトリサービスには、次の種類があります。
LDAP サービスがデフォルトサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。
directory default ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==
LDAP サービスがデフォルト以外のサービスの場合、dbswitch.conf ファイルが次の例のように更新されます。
directory ldap ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==
- 鍵ファイル: 鍵ファイルは、ハッシュ形式のユーザーパスワード、およびそのユーザーが所属するグループのリストが含まれているテキストファイルです。鍵ファイルに格納されたユーザーとグループは、認証と承認のために file レルムだけで使用され、システムのユーザーおよびグループとは関連しません。file レルムの詳細については、「file レルム」を参照してください。
ディレクトリサービスの設定ディレクトリサービスの詳細を設定するには、次の手順を実行します。
ディレクトリサービスを作成および設定すると、仮想サーバーごとにディレクトリサービスを割り当てられるようになります。ディレクトリサービスに関連する権限とアクセス権は、アクセス制御規則を評価および適用するときに、サーバーによって使用されます。詳細は、「仮想サーバーのディレクトリサービスの選択」を参照してください。
識別名 (DN) の理解
管理サーバーの「Users and Groups」タブを使用して、ユーザー、グループ、および組織単位を作成したり、変更したりします。ユーザーとは、企業の社員などのように、LDAP データベース内の個人を意味します。グループとは、同じ属性を共有する複数のユーザーを意味します。組織単位は、organizationalUnit オブジェクトクラスを使用する企業内の区分を意味します。ユーザー、グループ、および組織単位については、この章の最後に詳細を説明します。
企業内のユーザーやグループは、それぞれ、識別名 (DN) 属性で表されます。DN 属性は、関連するユーザー、グループ、またはオブジェクトを識別する情報が記述されたテキスト文字列です。ユーザーやグループのディレクトリエントリを変更する場合は、必ず DN を使用します。たとえば、ディレクトリエントリを作成したり変更したり、アクセス制御を設定したり、メールまたはパブリッシングなどのアプリケーション用のユーザーアカウントを設定したりする場合はその都度、DN 情報を指定する必要があります。DN を作成または変更するときは、Sun ONE Web Server 管理コンソールでユーザーとグループのインタフェースを使用すると便利です。
次の例は、Sun Microsystems の社員の一般的な DN を表しています。
uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US
この例では、各等号の前の略語は、それぞれ次の意味を示します。
DN には、さまざまな名前-値の組み合わせを含めることができます。DN は、証明書の項目、および LDAP をサポートするディレクトリ内のエントリの両方を識別するために使用されます。
LDIF の使用
この時点でまだディレクトリがない場合、または、既存のディレクトリに新規のサブツリーを追加したい場合、Directory Server の管理サーバー LDIF インポート機能を使用できます。この機能を使用すれば、LDIF を含むファイルを取り扱うことができ、ディレクトリを構築したり、LDIF エントリから新規のサブツリーを構築することが可能です。また、Directory Server の LDIF エクスポート機能を使用して、現在のディレクトリを LDIF へエクスポートすることもできます。この機能は、該当するディレクトリを表す LDIF 書式のファイルを作成します。エントリは、ldapmodify コマンドを適切な LDIF 更新文とともに使用して追加、編集します。
LDIF を使用してデータベースにエントリを追加するには、まず、LDIF ファイル内のエントリを定義し、次に、Directory Server から LDIF ファイルをインポートします。
ユーザーの作成管理サーバーの「Users and Groups」タブを使用して、ユーザーエントリを作成したり、変更したりします。ユーザーエントリには、データベース内の個人やオブジェクトに関する情報があります。
ユーザーを作成するときは、そのユーザーがリソースに不正にアクセスできないように設定することで、サーバーのセキュリティを保護する必要があります。Sun ONE Web Server 6.1 には、セキュリティ強化のためのオプションが数多く用意されています。
- J2EE およびサーブレットベースのレルムの認証を使用してユーザーを認証および承認する方法については、「レルムベースのセキュリティ」を参照してください。
- アクセス制御リスト (ACL) ベースの認証および承認の使用方法については、「アクセス制御のしくみ」を参照してください。
- Java ベースのセキュリティモデルと ACL ベースのセキュリティモデルを結ぶ native レルム機能の使用については、「native レルムの設定」を参照してください。
この節では、次の内容について説明します。
LDAP ベース認証データベースの新規ユーザーの作成
LDAP ベースのディレクトリサービスにユーザーエントリを追加すると、ユーザーの認証と承認に、基本となる LDAP ベースディレクトリサーバーのサービスが使用されます。この項では、LDAP ベースの認証データベースを使用する場合に注意すべきガイドラインを示し、管理サーバーを通じてユーザーを追加する方法について説明します。
LDAP ベースユーザーエントリ作成のガイドライン
管理者フォームを使用して LDAP ベースのディレクトリサービスに新しいユーザーエントリを作成するときは、次のガイドラインを考慮してください。
- 名 (ファーストネーム) および姓を入力すると、フォームにはユーザーのフルネームとユーザー ID が自動的に入力されます。ユーザー ID は、ユーザーのファーストネームの最初の 1 文字の後にユーザーのラストネームを組み合わせて生成されます。たとえば、ユーザーの名前が Billie Holiday の場合、ユーザー ID は、自動的に bholiday となります。このユーザー ID は、必要に応じて、独自に作成する ID と置き換えることができます。
- ユーザー ID は一意である必要があります。管理サーバーは、検索ベース (ベース DN) の下のディレクトリ全体を検索し、同じユーザー ID が使われていないかを調べて、ユーザー ID が一意であることを確認します。ただし、Directory Server の ldapmodify コマンド行ユーティリティを使用して (使用可能ならば)、ユーザーを作成する場合は、ユーザー ID が一意であるかどうかは確認されないため注意が必要です。ディレクトリに重複したユーザー ID が存在していた場合、該当するユーザーは、そのディレクトリでは認証されなくなります。
- ベース DN は、識別名を指定します。それはディレクトリの検索がデフォルトで実行され、Sun ONE Web 管理サーバーのエントリがすべてディレクトリツリーに配置される場所です。「DN」は、ディレクトリサーバーのエントリ名を表す文字列です。
- 新規にユーザーエントリを作成する場合、少なくとも次のユーザー情報を指定してください。
- 組織単位がディレクトリに定義されている場合、「Add New User To」リストを使用して、新規のユーザーを配置したい場所を指定できます。デフォルトの場所は、ディレクトリのベース DN (またはルートポイント) になります。
新規ユーザーエントリの作成方法
ユーザーエントリを作成するには、「LDAP ベースユーザーエントリ作成のガイドライン」に記載のガイドラインを読み、その後で次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「New User」リンクをクリックします。
- 「Select Directory service」ドロップダウンリストから「LDAP Directory Service」を選択し、「Select」をクリックします。
- 表示されるページに必要な情報を入力します。
詳細は、「Directory Server のユーザーエントリ」を参照してください。
- 「OK」をクリックします。
詳細は、オンラインヘルプの「New User ページ」を参照してください。
Directory Server のユーザーエントリ
次のユーザーエントリについての注意は、主にディレクトリ管理者を対象としています。
ファイルベース認証データベースの新規ユーザーの作成
Sun ONE Web Server 6.1 では、ユーザー情報をテキスト形式のフラットファイルに格納するネイティブ認証データベースをサポートするようになりました。ファイルベースの認証データベースは、次の種類のファイルと互換性があります。
新規ユーザーエントリの作成
ファイルベースの認証データベースにユーザーエントリを作成するには、次の手順を実行します。
ダイジェストベース認証データベースの新規ユーザーの作成
ユーザーとグループの情報を暗号化された形式で格納するダイジェストベースの認証データベースにユーザーエントリを作成するには、次の手順を実行します。
ユーザーの管理ユーザーの属性は、管理サーバーの「Manage Users」フォームから編集できます。このフォームを使用して、ユーザーエントリの検索、変更、名前の変更、削除を行なったり、ユーザーライセンスを管理したりすることができます。また、製品固有の情報を変更できる場合もあります。
Sun ONE サーバーの中には、この領域に製品固有の情報を管理するためのフォームを追加しているものもあります。たとえば、メッセージングサーバーが管理サーバー配下にインストールされている場合、メッセージングサーバー固有の情報を編集できるようにフォームが追加されています。このような追加の管理機能については、サーバーのマニュアルを参照してください。
この節では、次の内容について説明します。
ユーザー情報の検索
ユーザーエントリを編集する際は、事前に関連情報を表示する必要があります。特定のユーザー情報を検索するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Users」リンクをクリックします。
- 「Find User」フィールドに、編集したいエントリに関連する文字 (値) を入力します。検索フィールドに入力できる値は、次のとおりです。
- 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
- ユーザー ID。
- 電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
- 電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
- アスタリスク (*) を入力すると、現在ディレクトリにあるエントリがすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
- 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
他の方法としては、「Find all users whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。
- 「Look within」フィールドで、エントリの検索を行う組織単位を選択します。
デフォルトは、ディレクトリのルートポイント (つまり最上位のエントリ) です。
- 「Format」フィールドで、「On-Screen」または「Printer」を選択します。
- 「Find」をクリックします。
選択された組織単位に含まれるユーザーがすべて表示されます。
- 検索結果テーブルで、編集したいエントリの名前をクリックします。
ユーザー編集フォームが表示されます。
- 必要に応じてフィールドの変更を行い、「Save Changes」をクリックします。
変更は、すぐに有効となります。
カスタム検索クエリの構築
「Find all users whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find user」検索で返される検索結果を絞り込みます。
「Find all users whose」フィールドでは、次のような検索条件を使用します。
次の表は、使用可能な検索属性のオプションを示します。
次の表は、使用可能な検索タイプのオプションを示します。
Look Within ディレクトリ内のユーザーエントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。
ユーザー情報の編集
ユーザーエントリを変更するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
- 変更したい属性に対応するフィールドを編集します。
詳細は、オンラインヘルプの「Edit Users ページ」を参照してください。
注
変更したい属性値が「edit user」フォームに表示されていない場合でも、変更は可能です。この場合、Directory Server の ldapmodify コマンド行ユーティリティが使用できる場合は、これを使用します。
また、このフォームからユーザーのファーストネーム、ラストネーム、およびフルネームのフィールドを変更することができますが、エントリ (エントリの識別名を含む) の名前を完全に変更するには、「Rename User」フォームを使用する必要があることに注意してください。エントリの名前の変更については、「ユーザー名の変更」を参照してください。
ユーザーのパスワードの管理
ユーザーエントリに設定するパスワードは、ユーザー認証のためにさまざまなサーバーに使用されます。
ユーザーのパスワードを変更または作成するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
- 変更を行い、「OK」をクリックします。
詳細は、オンラインヘルプの「Manage Users ページ」を参照してください。
ユーザーのパスワードは、「Disable Password」ボタンをクリックして無効にすることができます。こうすることで、そのユーザーのディレクトリエントリを削除せずに、そのユーザーがサーバーへログインできなくすることができます。このユーザーに再度アクセスを許可するには、「Password Management」フォームを使用して、新しいパスワードを入力します。
ユーザーライセンスの管理
管理サーバーを使用して、ユーザーが使用許可のライセンスを持っている Sun ONE サーバー製品を調べることができます。
ユーザーが使用可能なライセンスを管理するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
- 「User Edit」フォームの上部にある「Licenses」リンクをクリックします。
- 変更を行い、「OK」をクリックします。
詳細は、オンラインヘルプの「Manage Users ページ」を参照してください。
ユーザー名の変更
名前の変更機能は、ユーザーの名前だけ変更します。他のフィールドは変更されません。また、ユーザーの古い名前は残されたままなので、古い名前で検索しても新しいエントリが表示されます。
ユーザーエントリ名を変更する場合、変更できるのはユーザー名だけです。名前の変更機能を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。たとえば、Marketing と Accounting という組織単位があり、「Billie Holiday」というエントリが Marketing 組織単位に属していると仮定します。エントリの名前は、Billie Holiday から Doc Holiday に変更できますが、Marketing 組織単位所属の Billie Holiday を Accounting 組織単位所属の Billie Holiday にするようエントリの名前を変更することはできません。
ユーザーエントリの名前を変更するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
共通名ベースの DN を使用している場合は、ユーザーのフルネームを指定するようにしてください。UID ベースの識別名を使用している場合は、エントリに使用したい新規の UID 値を入力します。
- 「Rename User」ボタンをクリックします。
- エントリの新しい識別名に合わせて、「Given Name」、「Surname」、「Full Name」または「UID」フィールドを変更します。
- エントリ名を変更するときに keepOldValueWhenRenaming パラメータを「false」に設定すれば、古いフルネームや古い UID 値を今後保持しないよう管理サーバーに指示できます。このパラメータは、次のファイルにあります。
詳細は、オンラインヘルプの「Manage Users ページ」を参照してください。
ユーザーの削除
ユーザーエントリを削除するには、次の手順を実行します。
- 管理者サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「ユーザー情報の検索」の説明に従って、ユーザーエントリを表示します。
- 「Delete User」をクリックします。
詳細は、オンラインヘルプの「Manage Users ページ」を参照してください。
グループの作成グループは、LDAP データベースにおいてオブジェクトのセットを表現するオブジェクトです。Sun ONE Web Server グループは、共通する属性を共有する複数のユーザーで構成されています。たとえば、会社のマーケティング部門で働く多数の従業員がオブジェクトのセットになります。この従業員たちは、「Marketing」というグループに属します。
グループのメンバーシップを定義するには、スタティックな方法とダイナミックな方法の 2 つがあります。スタティックグループは、メンバーオブジェクトを明示的に列挙します。スタティックグループは CN であり、uniqueMembers、memberURLs、memberCertDescriptions のいずれかまたはそのすべてが含まれます。スタティックグループでは、メンバーは、CN=<Groupname> 属性以外の共通の属性は共有しません。
ダイナミックグループでは、LDAP URL を使用してグループメンバーだけと一致させるための規則セットを定義できます。ダイナミックグループでは、メンバーは共通属性、または memberURL フィルタに定義される属性セットを共有します。たとえば、Sales 部門のすべての従業員を含むグループが必要で、全員がすでに「ou=Sales,o=Airius.com」の下の LDAP に含まれている場合は、次の memberurl を使用してダイナミックグループを定義します。
このグループは、「ou=Sales,o=sun」ポイントの下のツリーで、uid 属性を持つすべてのオブジェクト、つまりすべての Sales メンバーを持つことになります。
スタティックおよびダイナミックグループで、memberCertDescription を使用している場合は、メンバーは証明書から共通の属性を共有できます。ただし、これは、ACL が SSL メソッドを使用している場合だけ有効となります。
新規グループを作成したら、このグループにユーザーやメンバーを追加することができます。
この節では、次の内容について説明します。
スタティックグループ
管理サーバーを使って、複数ユーザーの DN の中に、同じグループ属性を指定して、スタティックグループを作成できます。スタティックグループは、ユーザーの追加や削除を実行しないかぎり、変更されることはありません。
スタティックグループ作成のガイドライン
新規のスタティックグループを作成するために管理サーバーのフォームを使用するときには、次のガイドラインを考慮してください。
- スタティックグループには、その他のスタティックグループまたはダイナミックグループを含めることができます。
- また、任意で、新規グループに説明を追加できます。
- 組織単位がディレクトリにすでに定義されている場合、「Add New Group To」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント (つまり最上位のエントリ) です。
- 必要な情報の入力が終わったら、「Create Group」をクリックして新規グループを追加すると、ただちに「New Group」フォームの画面に戻ります。別の方法として、「Create and Edit Group」をクリックしグループを追加して、追加したグループの「Edit Group」フォームに進む方法もあります。グループの編集については、「グループ属性の編集」を参照してください。
スタティックグループを作成するには
スタティックグループエントリを作成するには、次の手順を実行します。
詳細は、オンラインヘルプの「New Group ページ」を参照してください。
ダイナミックグループ
1 つのダイナミックグループは、groupOfURLs に対応する 1 つの objectclass、0 個以上の memberURL 属性、および、それぞれのオブジェクトのセットを説明する LDAP URL を持ちます。
Sun ONE Web Server では、任意の属性に基づいてユーザーを自動的にグループ化する場合、または一致する DN を含む特定のグループに ACL を適用する場合に、ダイナミックグループを作成できます。たとえば、department=marketing という属性を持つ任意の DN を自動的に含めるグループを作成することができます。department=marketing に検索フィルタを適用すると、検索結果は、department=marketing 属性を含むすべての DN からなるグループを返します。次に、このフィルタに基づいて検索結果からダイナミックグループを定義できます。さらに、結果として生成されるダイナミックグループの ACL を定義できます。
この項では、次の内容について説明します。
Sun ONE Web Server がダイナミックグループを実装するしくみ
Sun ONE Web Server は、ダイナミックグループを objectclass = groupOfURLs として LDAP サーバースキーマ内に実装します。groupOfURLS クラスは、複数の memberURL 属性を持つことができます。この属性は、それぞれがディレクトリ内のオブジェクトセットを列挙する LDAP URL から構成されます。グループのメンバーは、これらのセットの組み合わせです。たとえば、次のグループには 1 つのメンバー URL だけが含まれます。
この例は、部署名が「marketing」である「o=mcom.com」の下のすべてのオブジェクトから構成されるセットを示しています。LDAP URL は、検索ベース DN、スコープ、フィルタを含むことができますが、ホスト名とポートを含むことはできません。つまり、同じ LDAP サーバー上のオブジェクトだけを参照できます。すべてのスコープがサポートされます。
グループに DN を個別に追加しなくても、すべての DN が自動的に含まれます。Sun ONE Web Server は ACL 検証でグループルックアップが必要になるたびに LDAP サーバー検索を行うため、グループはダイナミックに変化します。ACL ファイルで使用されるユーザー名とグループ名は、LDAP データベース内のオブジェクトの cn 属性に対応します。
ACL から LDAP データベースへのマッピングは、dbswitch.conf 設定ファイル (ACL データベース名と実際の LDAP データベース URL を関連付けます) と ACL ファイル (どの ACL でどのデータベースが使用されるかを定義します) の両方に定義されます。たとえば、「staff」というグループのメンバーシップに基本アクセス権を設定する場合、ACL コードは groupOf<anything> というオブジェクト クラスを持ち、CN が「staff」に設定されているオブジェクトを検索します。オブジェクトは、メンバー DN を明示的に列挙するか (スタティックグループの groupOfUniqueNames と同様)、または LDAP URL を指定することによって (たとえば groupOfURLs)、グループのメンバーを定義します。
スタティックでダイナミックなグループ
グループは、objectclass = groupOfUniqueMembers と objectclass = groupOfURLs の両方の属性を持つことにより、「uniqueMember」属性と「memberURL」属性の両方を有効にできます。グループのメンバーシップには、スタティックなメンバーとダイナミックなメンバーが混在します。
ダイナミックグループがサーバーパフォーマンスに与える影響
ダイナミックグループを使用した場合、サーバーのパフォーマンスに影響が生じます。グループメンバーシップをテストするときに、DN がスタティックグループのメンバーではない場合、Sun ONE Web Server はデータベースのベース DN に含まれるすべてのダイナミックグループをチェックします。Sun ONE Web Server は、ベース DN とスコープをユーザーの DN と比較して各 memberURL が一致するかどうかを調べ、次にユーザー DN をベース DN とし、memberURL のフィルタを使用してベース検索を実行することで、このチェックを行います。この処理では、膨大な数の検索が行われることがあります。
ダイナミックグループ作成のガイドライン
新規のダイナミックグループを作成するために管理サーバーのフォームを使用するときには、次のガイドラインを考慮します。
ldap:///<basedn>?<attributes>?<scope>?<(filter)>
次の表で、必須パラメータについて説明します。
<attributes>、<scope>、および <(filter)> パラメータは、URL 内の位置で識別されます。どの属性も指定しない場合でも、そのフィールドに疑問符を含める必要があります。
- また、任意で、新規グループに説明を追加できます。
- 組織単位がディレクトリにすでに定義されている場合、「Add New Group To」リストを使用して、新規のグループを配置する場所を指定できます。デフォルトの場所は、ディレクトリのルートポイント (つまり最上位のエントリ) です。
- 必要な情報の入力が終わったら、「Create Group」をクリックして新規グループを追加すると、ただちに「New Group」フォームの画面に戻ります。別の方法として、「Create and Edit Group」をクリックしグループを追加して、追加したグループの「Edit Group」フォームに進む方法もあります。グループの編集については、「グループ属性の編集」を参照してください。
ダイナミックグループを作成するには
ディレクトリ内にダイナミックグループエントリを作成するには、次の手順を実行します。
詳細は、オンラインヘルプの「New Group ページ」を参照してください。
グループの管理管理サーバーを使用して、「Manage Groups」フォームからグループを編集したり、グループのメンバーシップを管理したりできます。この節では、次の内容について説明します。
グループエントリの検索
グループエントリを編集する前に、エントリを検索して表示する必要があります。
グループエントリを検索するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Groups」リンクをクリックします。
- 検索するグループ名を「Find Group」フィールドに入力します。
検索フィールドに入力できる値は、次のとおりです。
- 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
- アスタリスク (*) を入力すると、ディレクトリにある現在の組織単位がすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
- 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
他の方法としては、「Find all groups whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。
- 「Look within」フィールドで、エントリの検索を行う組織単位を選択します。
デフォルトは、ディレクトリのルートポイント (つまり最上位のエントリ) です。
- 「Format」フィールドで、「On-Screen」または「Printer」を選択します。
- 「Find」をクリックします。
検索条件に一致するグループがすべて表示されます。
- 検索結果テーブルで、編集したいエントリの名前をクリックします。
Find all groups whose フィールド
「Find all groups whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find groups」で返される検索結果を絞り込みます。
Look Within ディレクトリ内のグループエントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。
カスタム検索フィルタを構築する方法については、「カスタム検索クエリの構築」を参照してください。
グループ属性の編集
グループエントリを編集するには、次の手順を実行します。
特定のエントリの検索については、「グループエントリの検索」で説明されている内容を参照してください。
詳細は、オンラインヘルプの「Manage Groups ページ」を参照してください。
注
変更したい属性値が「group edit」フォームに表示されていない場合でも、変更は可能です。この場合、Directory Server の ldapmodify コマンド行ユーティリティが使用できる場合は、これを使用します。
グループメンバーの追加
グループにメンバーを追加するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Groups」リンクをクリックします。
- 「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Group Members」の下の「Edit」ボタンをクリックします。
Sun ONE Web Server に、エントリ検索のための新しいフォームが表示されます。リストにユーザーエントリを追加する場合、「Users 」が「Find」のドロップダウンメニューに表示されていることを確認します。グループにグループエントリを追加する場合、必ず「Group」が表示されていることを確認します。
- 一番右側のテキストフィールドに、検索文字列を入力します。次のオプションのうち、いずれかを入力します。
- 名前。フルネーム、または名前の一部を入力します。検索文字列と名前が一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
- ユーザーエントリを検索する場合は、ユーザー ID。
- 電話番号。電話番号の一部だけを入力すると、最後の部分が検索番号に一致する電話番号を含むエントリがすべて返されます。
- 電子メールアドレス。アットマーク (@) 記号を含む検索文字列は、すべて、電子メールアドレスとして認識されます。完全に一致するエントリがない場合は、検索文字列で始まる電子メールアドレスがすべて検索されます。
- 現在ディレクトリ内にあるエントリまたはグループをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。
- 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
- 「Find and Add」をクリックして、一致するすべてのエントリを検索し、グループにこのエントリを追加します。
グループに追加する必要のないエントリが返された場合は、「Remove from list?」列内のボックスをクリックします。また、削除したいエントリに一致する検索フィルタを作成して、「Find and Remove」をクリックすることもできます。
- グループメンバーのリストが完成したら、「Save Changes」をクリックします。
現在表示されているエントリがグループのメンバーとなります。
グループメンバーの追加の詳細は、オンラインヘルプの「Edit Members ページ」を参照してください。
グループメンバーリストへのグループの追加
グループのメンバーリストには、個々のメンバーではなく、グループを追加することができます。グループを追加すると、追加されたグループに属するユーザーは、追加先のグループのメンバーになります。たとえば、Neil Armstrong が「Engineering Managers」グループのメンバーであり、この「Engineering Managers」グループを「Engineering Personnel」グループのメンバーにする場合、Neil Armstrong は、「Engineering Personnel」グループのメンバーにもなります。
グループを別のグループのメンバーリストへ追加するには、ユーザーエントリと同様に、グループを追加します。詳細は、「グループメンバーの追加」を参照してください。
グループメンバーリストからのエントリの削除
グループメンバーリストからエントリを削除するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Group Members」の下の「Edit」ボタンをクリックします。
- リストから削除したい各メンバーについて、「Remove from list?」列の下の、対応するボックスをクリックします。
ほかに、削除したいエントリを検索するフィルタを作成して、「Find and Remove」をクリックする方法もあります。検索フィルタの作成の詳細は、「グループメンバーの追加」を参照してください。
- 「Save Changes」をクリックします。エントリが、グループメンバーリストから削除されます。
所有者の管理
グループの所有者リストは、グループメンバーリストと同様の方法で管理します。詳細についての参照先は、次の表に示します。
See Also の管理
「See Also」(関連項目) は、現在のグループに関連のある、他のディレクトリのエントリへの参照です。「See Also」を使用して、現在のグループと関連のあるユーザーや他のグループのエントリを簡単に見つけることができます。
「See Also」は、グループメンバーリストと同様の方法で管理します。詳細についての参照先は、次の表に示します。
グループの削除
グループを削除するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定し、「Delete Group」をクリックします。
グループの名前の変更
グループの名前を変更するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Groups」リンクをクリックして、「グループエントリの検索」で説明されているように、管理したいグループを特定します。
- 「Rename Group」ボタンをクリックして、表示されたダイアログボックスに新しいグループの名前を入力します。
グループエントリ名を変更する場合、変更できるのはグループの名前だけです。グループ名の変更機能 (Rename Group) を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。たとえば、ある企業には次のような組織があるとします。
この例では、Online Sales というグループ名を Internet Investments に変更することはできますが、Marketing という組織単位の下の Online Sales を、Product Management という組織単位の下の Online Sales にするようエントリの名前を変えることはできません。
組織単位の作成組織単位には、複数のグループを含めることができ、それらは通常、部、課などの業務グループを表します。DN は、複数の組織単位に存在させることができます。
組織単位を作成するには、次の手順を実行します。
詳細は、オンラインヘルプの「New Organizational Unit page ページ」を参照してください。
次の項目は、主にディレクトリ管理者を対象としています。
たとえば、Accounting という新規の組織を、組織単位 West Coast 内に作成する場合、ベース DN が o=Ace Industry、c=US とすると、新規の組織単位の DN は、次のようになります。
組織単位の管理組織単位の編集や管理には、「Organizational Unit Edit」フォームを使用します。この節では、次のタスクについて説明します。
組織単位の検索
組織単位を検索するには、次の手順を実行します。
- 管理サーバーにアクセスして、「Users & Groups」タブを選択します。
- 「Manage Organizational Units」リンクをクリックします。
- 検索する組織単位の名前を「Find Organizational Units」フィールドに入力します。検索フィールドに入力できる値は、次のとおりです。
- 名前。フルネーム、または名前の一部を入力します。検索文字列と完全に一致するすべてのエントリが返されます。これに該当するエントリがない場合は、検索文字列を含むすべてのエントリが検索されます。これにも該当しない場合は、検索文字列と類似したエントリが検索されます。
- アスタリスク (*) を入力すると、ディレクトリにある現在の組織単位がすべて表示されます。検索フィールドに何も入力しないで検索しても、同じ結果が得られます。
- 任意の LDAP 検索フィルタ。等号 (=) を含む文字列はすべて、検索フィルタとして認識されます。
他の方法としては、「Find all units whose」フィールドのドロップダウンメニューを使用して、検索結果を絞り込む方法もあります。
- 「Look within」フィールドで、エントリの検索を行う組織単位を選択します。
デフォルトでは、ディレクトリのルートポイントとなります。
- 「Format」フィールドで、「On-Screen」または「Printer」を選択します。
- 「Find」をクリックします。
検索条件に一致する組織単位がすべて表示されます。
- 検索結果テーブルで、編集したい組織単位の名前をクリックします。
Find all units whose フィールド
「Find all units whose」フィールドを使用して、カスタム検索フィルタを構築できます。このフィールドを使用して、「Find organizational unit」で返される検索結果を絞り込みます。
Look Within ディレクトリ内の組織単位エントリをすべて表示するには、テキストフィールドに、アスタリスク (*) を入力するか、または、何も入力せずに検索します。
カスタム検索フィルタを構築する方法については、「カスタム検索クエリの構築」を参照してください。
組織単位の属性の編集
組織単位のエントリを変更するには、管理サーバーにアクセスし、次の手順を実行します。
- 「組織単位の検索」で説明されているように、編集したい組織単位を特定します。
組織単位編集フォームが表示されます。
- 必要に応じてフィールドの変更を行い、「Save Changes」をクリックします。
変更は、すぐに有効となります。
組織単位名の変更
組織単位エントリの名前を変更するには、管理サーバーにアクセスし、次の手順を実行します。
- 名前を変更したい組織単位の下のディレクトリには、他のエントリが何も入っていないことを確認します。
- 「組織単位の検索」で説明されているように、編集したい組織単位を特定します。
- 「Rename」ボタンをクリックします。
- 表示されたダイアログボックスに新しい組織単位名を入力します。
注
組織単位エントリの名前を変更する場合、変更できるのは組織単位の名前だけです。名前の変更機能を使って、エントリを 1 つの組織単位から別の組織単位へ移動することはできません。詳細は、「組織単位名の変更」を参照してください。
組織単位の削除
組織単位エントリを削除するには、管理サーバーにアクセスし、次の手順を実行します。
- 削除したい組織単位の下のディレクトリには、他のエントリが何も入っていないことを確認します。
- 「組織単位の検索」で説明されているように、編集したい組織単位を特定します。
- 「Delete」ボタンをクリックします。
- 表示される確認ボックスで、「OK」をクリックします。
組織単位がすぐに削除されます。