3.1. ユーザーディレクトリの統合について

3.1.1. Active Directory タイプ
3.1.2. LDAP タイプ
3.1.3. ユーザーディレクトリのカスタマイズ

通常、ユーザー情報は Active Directory または LDAP サーバーにすでに格納されています。プールを作成してユーザーをデスクトップに割り当てるには、先に必要な Active Directory/LDAP サーバーと Oracle VDI を構成する必要があります。次に、Oracle VDI によってサポートされるユーザーディレクトリの種類について説明します。

3.1.1. Active Directory タイプ

Active Directory 統合は、Microsoft Active Directory と統合する本稼動プラットフォーム向けに推奨される選択肢です。Active Directory 統合には、Kerberos 構成、時間の同期など、Oracle VDI ホストでの追加の構成が必要です。テストのためなどで Active Directory 統合をすばやく設定する場合は、「LDAP タイプ」を使用できます。「LDAP タイプ」を参照してください。

Active Directory のサポートされるバージョンについては、「サポートされているユーザーディレクトリ」を参照してください。

Active Directory からのユーザーはデスクトップとプールの割り当てに使用でき、Oracle VDI によって提供されるデスクトップにアクセスできます。この基本機能に加え、Active Directory 統合は次の機能を提供します:

  1. Active Directory 統合を使用すると、1 つのフォレストからのすべてのユーザーにアクセスし、これらのユーザーにデスクトップおよびプールを割り当てることができます。つまり、フォレスト内の異なるサブドメインからのユーザーが、Oracle VDI からデスクトップにアクセスできるということです。

    サポートされるフォレスト構成については、「複雑なフォレスト構成について」を参照してください。

  2. Active Directory 統合を使用すると、クローニングされたデスクトップが Oracle VDI によって削除されたときに Active Directory からコンピュータのエントリを削除できます。

    Oracle VDI によってクローニングされた Windows デスクトップが、Sysprep を通じてドメインに参加すると、通常では Active Directory に新しいコンピュータのエントリが作成されます。Kerberos 認証を使用して Oracle VDI を構成すると、使用されていないデスクトップを削除したときに、Oracle VDI によって Active Directory からコンピュータのエントリを削除できます。これにより、対応するデスクトップがすでに破棄されているのにコンピュータのエントリが Active Directory に蓄積されるのを防ぐことができます。

  3. Active Directory 統合を使用すると、パスワードの有効期限が切れる前 (省略可能な操作)、またはパスワードの有効期限が切れたあと (必須の操作) のいずれかに、Active Directory サーバーのパスワードをユーザーが各自で更新する (「ユーザーパスワードの変更方法」) ことができます。

次のサポートされる Active Directory の種類から選択できます:

3.1.2. LDAP タイプ

LDAP 統合は、ほかの種類の LDAP ディレクトリとの統合、または Active Directory 統合をすばやく設定する場合に推奨される選択肢です。この設定は、追加の構成を必要とせず、容易に行えます。

サポートされる LDAP ディレクトリについては、「サポートされているユーザーディレクトリ」を参照してください。

LDAP 統合を使用すると、このパスワードの有効期限が切れる前にのみ、ディレクトリサーバーのパスワードをユーザーが各自で更新する (「ユーザーパスワードの変更方法」) ことができます。ユーザーのパスワードの有効期限が切れると、ユーザーは、Oracle VDI の外部で、顧客が規定したプロセスを使用してパスワードを更新することが必要になります。

LDAP 統合には、認証のセキュリティーの種類として匿名認証、単純認証、セキュア認証の 3 つがあります:

  • 匿名認証 - LDAP サーバーとすばやく統合するために役立ちますが、本稼働環境では推奨しません。匿名認証は、LDAP サーバーが匿名認証をサポートしている場合にのみ選択できます。Active Directory は匿名認証をサポートしていません。

    詳細については、「匿名認証の設定方法」を参照してください。

  • 単純認証 - Active Directory 以外の LDAP ディレクトリと統合されている本稼働プラットフォームで推奨される選択肢です。Active Directory と統合している場合は、Kerberos 認証を使用してください (「Kerberos 認証の設定方法」を参照)。Active Directory のデフォルトでの制限により、LDAP 単純認証からパスワードを更新することはできません。

    詳細については、「単純認証の設定方法」を参照してください。

  • セキュア認証 - ディレクトリでサポートされている場合に、SSL を介して接続をセキュリティー保護するために役立ちます。

    詳細については、「セキュア認証の設定方法」を参照してください。

ユーザーが Oracle VDI から (デスクトップセレクタを介して) デスクトップを取得すると、Oracle VDI がユーザー資格をデスクトップに渡すため、ユーザーはデスクトップへのログイン時に資格を再入力する必要がありません。一方向の Oracle VDI により、ユーザーは電子メールアドレスによって認証できますが、電子メールアドレスはデスクトップ側の有効なユーザー名ではありません。

Oracle VDI は、資格をデスクトップに渡す前に、ユーザーディレクトリからユーザー ID 属性とユーザーのデフォルトドメインを取得することによって、電子メールアドレスを username@domain の形式に解釈処理しようとします。LDAP を使用している場合、Oracle VDI はデフォルトドメインを検出できないため、vda directory-setprops コマンドを使用して directory.default.domain プロパティーを設定する必要があります。このプロパティーを設定しないと、ユーザーはデスクトップ側でふたたび認証する必要があります。

3.1.3. ユーザーディレクトリのカスタマイズ

読者がユーザーディレクトリの統合について理解している上級者で、ユーザーディレクトリ用に Oracle VDI を最適化しようとしている場合は、次のセクションを参照してください: