Oracle® Enterprise Single Sign-On Logon Managerベスト・プラクティス: Microsoft Active Directoryでの Logon Managerのデプロイ リリース11.1.2 B71102-01(原本部品番号:E27161-02) 2012年8月

 

 

 

 

 

 

 

 

 

 

 


 


Oracle Enterprise Single Sign-On Logon Managerベスト・プラクティス: Microsoft Active DirectoryでのLogon Managerのデプロイ

リリース11.1.2

B71102-01

Copyright © 2012, Oracle and/or its affiliates.All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT RIGHTS Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007).Oracle USA, Inc., 500 Oracle Parkway, Redwood City, CA 94065.

このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。


目次

はじめに. 5

対象読者. 5

Oracle Supportへのアクセス 5

関連ドキュメント. 5

表記規則. 6

第1部: デプロイメントにおけるベスト・プラクティス. 7

Oracle Logon Managerの概要. 8

Logon ManagerおよびActive Directoryの環境. 8

Logon ManagerによるActive Directoryスキーマの拡張方法. 8

Logon ManagerとActive Directoryの同期方法. 9

Logon Managerによるアプリケーション資格証明の処理と格納の方法. 9

参考文献. 9

Logon Managerディレクトリのサブツリーの設計. 10

サブツリーの構築に関するガイドライン. 10

テンプレートおよびポリシーのバージョン制御とプリフライト・テスト. 12

コンソールを使用したオブジェクトのアクセス制御リスト(ACL)の構成に関する注意事項. 13

エージェントおよびコンソールのアップグレードに関する注意事項. 13

グローバル・エージェント設定および管理オーバーライド. 14

推奨グローバル・エージェント設定. 16

データの格納の設定. 16

構成オブジェクトの使用. 16

Logon Manager構成オブジェクトへのパスの指定. 16

それぞれのユーザー・オブジェクトへのユーザー資格証明の格納. 16

リポジトリ接続設定. 17

Logon Managerによる最も近いドメイン・コントローラの検出. 17

SSLのサポート. 18

ディレクトリに対する認証時に使用する資格認証の選択. 18

ディレクトリへの接続が切断された場合にユーザーにプロンプトを表示するかどうかの決定. 19

Logon Managerによるユーザー・アカウントの検索. 19

「Synchronizer order」リストへのActive Directoryシンクロナイザの追加. 19

起動時に同期を待つようにLogon Managerエージェントを構成する手順. 20

最適化された同期の使用. 20

接続なし操作の制約. 21

推奨管理オーバーライド. 21

第2部: デプロイメントの手順. 22

デプロイメント・プロセスの概要. 23

Logon ManagerのためのActive Directoryの準備. 24

手順1: スキーマの拡張. 24

手順2: ユーザー・オブジェクトへのユーザー資格証明の格納の有効化. 26

手順3: Logon Manager構成オブジェクト・コンテナおよびサブツリー構造の作成. 28

Active Directoryシンクロナイザの構成. 30

Logon Managerの構成のテスト. 31

次の手順. 32

第3部: 付録. 33

付録A: Logon Manager ADオブジェクト用の最小管理権限. 34

Logon Managerコンテナで必要な最小管理権限. 34

資格証明の監査に必要な最小管理権限. 34

資格証明の削除に必要な最小管理権限. 35

付録B: Logon Manager ADのクラスおよび属性. 36

vGOUserData. 36

vGOSecret. 36

vGOConfig. 37

vGOLocatorClass. 37

付録C: Active DirectoryでのLogon Managerのトラブルシューティング. 38

Active Directoryスキーマの拡張の失敗. 38

すべてのユーザーがユーザー・オブジェクトの下に資格証明を格納できない. 38

一部のユーザーがユーザー・オブジェクトの下に資格証明を格納できない. 39


 

はじめに

対象読者

このガイドでは、Oracle Enterprise Single Sign-On Manager (Logon Manager)をMicrosoft Active Directoryとともにデプロイするためのベスト・プラクティスおよび推奨手順について説明します。このガイドの読者は、システム管理者としての豊富な経験があり、Active Directoryとそれに関連する概念(ディレクトリ・スキーマ、構造、セキュリティなど)に精通していることが求められます。

Logon Managerのデプロイメントを計画する前に、このガイドに目を通し、推奨の準備手順、デプロイメント手順、短期と長期の問題を回避するためのアドバイスについて理解しておくことを強くお薦めします。このガイドおよびその他の
Logon Managerベスト・プラクティスのガイドの推奨事項に従って、最適なLogon Manager構成を実装してください。

注意: このガイドで説明しているベスト・プラクティスは、Active DirectoryでのプレーンなLogon Managerのデプロイメントのみに適用されます。これらは、LDAP、Citrix、ターミナル・サービス、キオスクおよびKiosk Managerの環境に適用するものではありません。

Oracle Supportへのアクセス

Oracleサポート・サービスでは、My Oracle Supportを通して電子支援サービスを提供しています。

詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

関連ドキュメント

オラクル社ではドキュメントの正確さと最新情報の維持に努めています。このガイドおよびその他のドキュメントの最新バージョンは、http://download.oracle.com/docs/cd/E23906_01/index.htmを参照してください。

詳細は、このリリースのドキュメント・セットに含まれる次のドキュメントを参照してください。

·         Oracle Enterprise Single Sign-On Suite Plus

o   リリース・ノート

o   インストレーション・ガイド

o   管理者ガイド

o   セキュア・デプロイメント・ガイド

o   ユーザーズ・ガイド

·         Oracle Enterprise Single Sign-On Logon Manager

o   Microsoft Active DirectoryでのLogon Managerのデプロイ

o   Microsoft Active Directory Application ModeおよびActive Directory Lightweight Directory ServicesへのLogon Managerのデプロイ

o   Lightweight Directory Access ProtocolディレクトリへのLogon Managerのデプロイ

o   Windowsアプリケーション用のテンプレート構成および診断  

o   Webアプリケーション用のテンプレート構成および診断

o   メインフレーム・アプリケーション用のテンプレートの構成および診断

·         Oracle Enterprise Single Sign-On Provisioning Gateway

o   管理者ガイド

o   コマンドライン・インタフェース・ガイド

o   Oracle Identity Managerコネクタ・ガイド

o   Sun Java System Identity Managerコネクタ・ガイド

o   IBM Tivoli Identity Managerコネクタ・ガイド

·         Oracle Enterprise Single Sign-On Universal Authentication Manager

·         管理者ガイド

·         ユーザーズ・ガイド

表記規則

このマニュアルでは次の表記規則を使用します。

用語または略語

説明

太字

太字は、操作に関連するGraphical User Interface要素、または本文中で定義されている用語および用語集に記載されている用語を示します。

イタリック

イタリックは、ユーザーが特定の値を指定するプレースホルダ変数を示します。

固定幅フォント

固定幅フォントは、段落内のコマンド、URL、サンプル内のコード、画面に表示されるテキスト、または入力するテキストを示します。


 

第1部: デプロイメントにおけるベスト・プラクティス

この部では、Microsoft Active DirectoryでのLogon Managerのデプロイメントにおけるベスト・プラクティスについて説明します。内容は次のとおりです。

·         Logon Managerの概要

·         Logon Managerディレクトリのサブツリーの設計

·         グローバル・エージェント設定および管理オーバーライド

·         推奨グローバル・エージェント設定

·         推奨管理オーバーライド

 

 

 

 


·          

Oracle Logon Managerの概要

Oracle Enterprise Single Sign-On Logon Manager (Logon Manager)は、ユーザーとターゲット・アプリケーションの間の中間層として機能するセキュアで容易にデプロイ可能なシングル・サインオン・ソリューションです。ユーザーの認証は1回で済み、ユーザー資格証明に対する後続のすべてのリクエストはLogon Managerによって自動的に検出されて処理されます。Logon Managerの詳細は、Oracleサポートで入手できるOracle Enterprise Single Sign-On Suite Plusの技術概要ホワイト・ペーパーを参照してください。

Logon ManagerおよびActive Directoryの環境

Active Directoryなどのディレクトリ環境にLogon Managerをデプロイする選択肢もあり、これにより、ネットワーク上の任意のマシンに対して、アプリケーション資格証明、テンプレートおよびポリシーの一括格納によるシングル・サインオン機能を実装できます。ユーザーは、このディレクトリを同期して、これらの項目をダウンロードし、新規作成または変更されたユーザー名やパスワードで資格証明ストアを更新します。

既存のディレクトリ環境にLogon Managerを追加すると、次のような利点があります。

·         Logon Managerでは既存のユーザー・アカウント、グループおよびネイティブのディレクトリ権限(ACL)を使用できるため、これらの項目を個別に管理したり、他のディレクトリまたはデータベースと同期する必要がありません。

·         Logon Managerのデータは、既存のバックアップ、フェイルオーバー、および障害時リカバリ計画によって自動的に保護されます。

·         専用サーバーやサーバー側のプロセスは不要で、Logon Managerのスケーラビリティとパフォーマンスは、既存のディレクトリ・インフラストラクチャの容量と堅牢性のみに依存します。

·         管理者のタスクが増えることはなく、また新しいツールや概念について学習する必要もありません。Logon Managerの委任管理は、ディレクトリのネイティブ機能によって行われます。

また、ディレクトリの使用によって、Logon Managerのテンプレートとポリシーの編成を見やすい階層構造で表示することもできます。現行の環境で必要な場合はフラット・モデルを使用できますが、階層を適切に設定すれば、より効率的なアクセス制御によって、トップ・ディレクトリ、エージェント、およびネットワークのパフォーマンスの安定化を図り、Logon Managerの管理を簡略化できます。

Logon ManagerによるActive Directoryスキーマの拡張方法

Logon ManagerでActive Directoryにデータを格納するためには、管理コンソールを使用してActive Directoryスキーマを拡張する必要があります。スキーマの拡張は、4つのオブジェクト・クラスを追加し、これらのタイプのオブジェクトを作成、読取り、変更、削除できるように、適切な権限を設定して行います。既存のクラスおよび属性を変更する方法はありません。Logon Managerでアプリケーション資格証明をユーザー・オブジェクトに格納する場合(推奨されるベスト・プラクティス)は、この機能に必要な権限もLogon Managerによって適用されます。

 

注意: スキーマの拡張はインストール後の手順です。手順については、「Logon ManagerのためのActive Directoryの準備」を参照してください。スキーマの拡張を実行する前に、Microsoft MOMなどのツールを使用してスキーマ・ヘルス・チェックを実行することを強くお薦めします。

Logon Managerによって実行されるスキーマの拡張の詳細は、次の付録を参照してください。

·         付録A: Logon Manager ADオブジェクト用の最小管理権限

·         付録B: Logon Manager ADのクラスおよび属性

Logon ManagerとActive Directoryの同期方法

Logon Managerエージェントは、Active Directoryシンクロナイザのプラグインを使用してActive Directoryと通信します。適切に設定されている場合は、次のいずれかのイベントが発生すると同期が実行されます。

·         Logon Managerエージェントが起動された。

·         アプリケーション資格証明がエンド・ユーザーによって、追加、変更または削除された。

·         エージェントを実行しているマシンがIPアドレスを取得した、または既存のIPアドレスが変更された。
(Logon Managerがこれらのイベントに応答するように設定されている場合)。

·         自動同期の間隔が経過した(設定されている場合)。

·         ユーザーがLogon Managerのリフレッシュ機能を使用して同期を開始した。

同期を実行している間、Logon Managerエージェントは、Logon Managerツリーを移動して、現在のユーザーにアクセス権が付与されているサブコンテナのコンテンツをロードし、前回の同期後に追加、変更または削除された資格証明を同期します。

Logon Managerによるアプリケーション資格証明の処理と格納の方法

Logon Managerは、ユーザーが「First-Time Use (FTU)」ウィザードを完了したときに生成される一意キーを使用してアプリケーション資格証明を暗号化します。
資格証明は、エージェントのローカル・キャッシュ内、ディレクトリ内およびネットワークを移動しているときも常に暗号化された状態を維持します。Logon Managerは、
設定されたアプリケーションがログオンをリクエストしたときにのみ資格証明を(ディスクではなくメモリーに対して)復号化し、ログオン・リクエストの完了後すぐにターゲット・メモリーの場所を消去します。ユーザーおよび有効なアプリケーションごとにLogon Managerが格納するデータ量はわずかです(数バイトか数キロバイト)。

注意: Logon Managerはディレクトリ接続時のSSL暗号化をサポートしています。SSLのサポートは、通常は必要ありませんが特定のシナリオでは必要になります。詳細はSSLサポートの構成に関する説明を参照してください。

参考文献

Logon Managerソフトウェアのアーキテクチャについては、このガイドでは詳しく取り扱いません。
詳細な説明が記載されたOracleのホワイト・ペーパーをお求めの場合は、オラクル社の担当者に問い合せてください。


 

Logon Managerディレクトリのサブツリーの設計

Logon Managerでは、組織のニーズに合わせてディレクトリ構造を思いのままに設定できます。具体的には、データをフラット・モデルで格納するか階層構造で格納するかの選択肢があります。フラット・モデルは小規模なデプロイメントでは問題なく機能しますが、成長する大規模なデプロイメントでは最初から階層構造を使用します。サブツリーの適切な構造は次の要素によって決まります。

·         ユーザーの数

·         Logon Managerでサポートするアプリケーションの数

·         既存のインフラストラクチャの堅牢性

·         組織の構造

Active Directoryの設計および実装については、Microsoftの次の記事で説明されているベスト・プラクティスに必ず従ってください。http://technet.microsoft.com/en-us/library/bb727085.aspx

サブツリーの構築に関するガイドライン

次のガイドラインに従ってサブツリーを階層構造として設定することをお薦めします。

·         OUを使用して、部門や部署など、組織の構造に合わせたカテゴリごとにテンプレートおよびポリシーをグループ化します。

·         OUレベルでアクセスを制御します。

·         現在の環境で特に指定がないかぎり、継承を無効化し、Logon Managerのサブツリーのルートでユーザー権限を付与しないようにします。

このように階層を設定すると、次の利点があります。

·         見やすくわかりやすいツリー構造。ディレクトリ・ブラウザでサブツリーを表示すると、サブツリー構造を一覧できるので全体が把握しやすくなります。

·         不要な権限は継承されません。ユーザーには、アクセスする必要のないサブOUに対する権限はネイティブで継承されません。これにより、ツリーの下位に継承される不要なアクセス権限を明示的に拒否せずに済みます。

·         ネットワーク、エージェントおよびディレクトリの堅牢なパフォーマンス。通常、大量のテンプレートおよびポリシーをダウンロードするユーザーは、自分のジョブに関連する項目のみをダウンロードするユーザーよりもネットワーク・トラフィックが多く、ディレクトリの負荷も高くなります。グループ化によって、環境のリソースが節約され、エージェントのレスポンス時間が改善されます。

·         管理タスクの分散。テンプレートを制御しやすいセットに整理し、
アクセス権限の設定によって、ユーザーが管理できるテンプレートを決定します。権限に基づいたテンプレートのバージョン制御を実装する機能も使用できます。

·         低い管理オーバーヘッド。テンプレート・レベルでのアクセスの制御では、Logon Manager管理コンソールから個々のテンプレートに権限を設定する必要があり、OUレベルでのアクセスの制御は、Microsoftやサードパーティの管理ツールを使用した委任管理によって行います。

図1は、前述のベスト・プラクティスを反映して設計されたサンプルのLogon Managerサブツリーを示しています。

図1 Logon Managerサブツリーの推奨設計

サンプルのシナリオでは、ポートランド部門のユーザーは、サクラメント部門で使用するアプリケーションへのアクセスは不要で、その逆も同様なので、各部門のテンプレートおよびポリシーは、ルートの専用サブOUに配置し、両部門が互いのサブOUにアクセスできないようにしています。つまり、具体的な実装方法は使用する環境によって決まります。

注意: テンプレートおよびポリシーは、個々のOUに格納することをお薦めします。
これを行うには、設定オブジェクトのユーザーを有効にする必要があります

フラット・モデルで開始し、ユーザーおよびプロビジョニングするアプリケーションの数が多くなると予想される場合は、階層構造への移行の準備ができるまでは、ルートの下にサブコンテナを作成し、それを使用してテンプレートとポリシーをフラットに格納します。ユーザーを追加したり、アプリケーションをさらにプロビジョニングする際には、階層に移行してなるべく早いうちに環境のパフォーマンスを確認してください(後で確認するよりも手間を省くことができます)。

テンプレートおよびポリシーのバージョン制御とプリフライト・テスト

12ページの図1に示すように、ワークフローの各段階(開発、ステージング、本番)で専用のサブOUを作成することをお薦めします。この方法によって次のことができます。

·         テンプレートおよびポリシーがワークフローを通過して本番に入るときには、ワークフローの各ステージを移動するたびにこれらのシャドウ・コピーが保持されるので、テンプレートおよびポリシーに対して行われた変更をトラッキングできます。

·         必要に応じて、テンプレートおよびポリシーを以前のバージョンにロールバックできます。

·         ワークフローの各ステージで、誰がどのテンプレートおよびポリシーを使用するかを制御できます。特に、テンプレートおよびポリシーを本番に配置できるユーザーの管理には、厳格なルール設定が必要です。

必ず、隔離した環境ですべてのアプリケーション・テンプレートおよび管理オーバーライドをテストしてから、エンド・ユーザーにデプロイしてください。テストは、変更内容の確認や、本番環境で発生したとしたら、解決するのに多くのコストがかかるような潜在的な問題の解決に役立ちます。正しく構成されていないテンプレートや誤った管理オーバーライドをネットワーク全体にプッシュした場合、ミッション・クリティカルなアプリケーションへのアクセスがエンタープライズ全体で失われることがあるので、テストは大規模なデプロイメントでは特に重要です。

隔離したテスト環境をセットアップする場合は、デプロイメント・グループのメンバーのみがアクセス権を持つ専用のテスト・コンテナを作成してください。次に、このコンテナ内のLogon Managerエージェントを特定して、テンプレートと管理オーバーライドをその中に配置します。テンプレートとポリシーが意図したとおりに動作していることを確認したら、それらをターゲットの本番コンテナに移動します。

テンプレートをテストした後にシャドウ・コピーを維持しない場合、次の手順に従って、それらをテスト・コンテナからターゲットの本番コンテナに移動します。

1.       ディレクトリからテンプレートを取り出します。

2.       そのテンプレートのローカル・バックアップを作成します。

3.       ディレクトリ内の新しい場所に、このコピーを配置します。

4.       テンプレートを元の場所から削除します。

コンソールを使用したオブジェクトのアクセス制御リスト(ACL)の構成に関する
注意事項

コンソールを使用してオブジェクトのアクセス制御リスト(ACL)を変更する場合、リポジトリに接続するために使用される接続文字列(リポジトリ・ホスト名またはIP)は、コンソールでは一意のリポジトリ識別子として扱われ、オブジェクト内に記録されます。そのため、コンソールは、同じリポジトリに接続する2つ目の一意リポジトリや2つ目のメソッドを識別できません。

これにより、同一ディレクトリに対して異なる接続文字列(IPアドレスやホスト名)を使用すると、セッション間で行われたオブジェクトへの変更が失われます。Active Directory環境でこの問題を回避するには、特定のIPアドレスまたはホスト名を使用せずにリポジトリのドメインを使用します。これにより、コンソールから最も近い場所にあるDCへの接続が自動的に行われるため、接続文字列の一貫性が保たれ、オブジェクトのACLに対して行われた変更がセッション間で維持されます。

エージェントおよびコンソールのアップグレードに関する注意事項           

環境全体でテンプレートと設定の互換性を維持するには、常に、本番にデプロイされているエージェントの
最も古いバージョンと一致するコンソールのバージョンを使用することです。テンプレート・スキーマはリリース間で変更されるため、新しいバージョンのコンソールによって作成または変更されたテンプレートを使用すると、古いエージェントは予期しない動作をする可能性があります。このため、Logon Managerを新しいリリースにアップグレードしている場合は、すべてのデプロイされたエージェント・インストールをアップグレードしてから、コンソールをアップグレードすることを強くお薦めします。

注意: テンプレートに何も変更を行っていない場合でも、テンプレートをリポジトリに戻すと、現在インストールされているコンソールのデータ・スキーマを使用して再書き込みが行われます。


 

グローバル・エージェント設定および管理オーバーライド

Logon Managerエージェントの動作(ディレクトリとの相互作用も含む)は構成済の設定によって管理し、エンドユーザーのマシンへのデプロイはLogon Manager管理コンソールを使用してLogon Manager管理者が行います。設定は、次のいずれかのカテゴリに該当します。

·         グローバル・エージェント設定は、エージェントのローカル・ポリシーであり、エンド・ユーザーのマシンのWindowsレジストリ内に格納され、デプロイメント時にエージェントに初期構成を渡すためにLogon Manager MSIパッケージ内に含まれています。グローバル・エージェント設定は、HKEY_LOCAL_MACHINE\Software\Passlogix (32ビット・システム)またはHKEY_LOCAL_MACHINE\Wow6432Node\Software\Passlogix (64ビット・システム)に格納されます。

注意: HKLMハイブを変更できるユーザーは、グローバル・エージェント設定を変更できるので、最初に意図していたエージェントの動作を変更できることになります。
設定がエンド・ユーザーによって変更されないようにするには、それを管理オーバーライドでデプロイします。

·         管理オーバーライドはWindowsレジストリに格納されているグローバル・エージェント設定よりも優先され、エージェント用のドメイン・ポリシーを構成します。オーバーライドは、同期中にエージェントによって中央リポジトリからダウンロードされ、暗号化および改ざん防止機能を持つエージェントのローカル・キャッシュに格納されるので、エンド・ユーザーからの変更は受け付けられません。ロール/グループのセキュリティが有効な場合、管理オーバーライドはユーザーまたはグループごとに適用することも、企業全体に適用してすべてのユーザー設定の一貫性を保つこともできます。

注意: 管理オーバーライドを計画する場合は慎重に行ってください。オーバーライドが少なければ、格納および転送するデータも少なくなるので、中央リポジトリとの同期がより効率的になります。エンド・ユーザーのマシン上では管理オーバーライドを確認することができないため、オーバーライドの数を減らすことで不明な状況が解消され、トラブルシューティングも容易になります。

管理オーバーライドとグローバル・エージェント設定は、エージェントの完全な構成ポリシーを適用します。このガイドの残りの部分では、推奨される最適な構成について説明し、他のLogon Managerベスト・プラクティスのガイドにある情報を補足します。

警告: ドメイン名やユーザー・オブジェクト・パスなどの設定は、必ず十分にテストしてからデプロイし、必要のない場合は管理オーバーライドとしてデプロイしないでください。入力ミスによるドメイン名の単純な間違いなどによって、エンド・ユーザーのワークステーションでディレクトリの同期ができなくなると、コンソールから修正内容を伝えることはできないため、他のツールを使用してユーザー・マシンに変更を適用する必要があります。

図2は、Active Directoryと同期するためのLogon Manager管理コンソールの標準的な設定を示しています。

図2 Logon Manager管理コンソール

次の項では、Active Directoryと同期するためのLogon Managerの構成について、そのベスト・プラクティスを説明します。このガイドで説明されている設定の詳細な情報が必要な場合は、コンソールに含まれているオンライン・ヘルプを参照してください。

注意: 開始する前に、Logon ManagerエージェントとActive Directoryのシンクロナイザ・プラグインがインストールされていることを確認してください(インストールされていないとコンソールにADが表示されません)。インストール手順については、使用しているLogon Managerのバージョン用のインストールおよび設定ガイドを参照してください。

ヒント: 開発およびステージング環境では、Internet Explorerの「発行元証明書の取り消しを確認する」オプションを無効にして、コンソールの起動時に、マシンがインターネットに接続されていない場合の遅延が起きないようにします。(この遅延は、Internet Explorerによるサーバー証明書の確認が行われて、証明書認証局にアクセスできずタイムアウトするまでの時間です。)このオプションは本番マシンでは無効にしないでください。

このガイドや他のLogon Managerベスト・プラクティスガイドで説明されていない設定は、現在の環境で特に指定がないかぎり、デフォルト値のままにすることをお薦めします。Logon Manager管理コンソールで設定のチェック・ボックスが選択されていない場合は、デフォルト値が自動的に有効になります。この値は、チェック・ボックスの横にある非アクティブ・フィールドに表示されます。

推奨グローバル・エージェント設定

この項では、推奨されるグローバル・エージェント設定のベスト・プラクティスを示します。次の説明に従って設定を構成し、カスタマイズされたLogon Manager MSIパッケージにそれらを含めます。(パッケージの作成手順については、ベスト・プラクティス: 大規模デプロイメント用のLogon Managerの構成のガイドを参照してください。)

データの格納の設定

次の手順に従って、Logon Managerのデータの格納を構成することをお薦めします。

構成オブジェクトの使用

Active Directoryのデプロイメントでは、ユーザー・データおよび構成データの格納にディレクトリ・オブジェクトを使用することをお薦めします(これにより、「Logon Managerディレクトリのサブツリーの設計」の説明に従って、階層構造での格納、ロールおよびグループ・ベースの個別のコンテナに対するアクセス制御、テンプレートおよびポリシーを使用することが可能になります)。この機能を無効にしている場合、Logon Managerは、すべてのテンプレートおよび構成データをツリーのルートの下に単一のフラット・ファイルとして格納します。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」

有効にするには: チェック・ボックスを選択して、ドロップダウン・リストで「Yes」を選択します。

 

Logon Managerの構成オブジェクトへのパスの指定

Logon ManagerでActive Directoryにデータを格納するには、Logon Managerのルート・コンテナ(Logon Managerの構成オブジェクトが格納される)の場所を指定する必要があります。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

設定するには: チェック・ボックスを選択し、()ボタンをクリックして必要な値を入力します。
              完了したら「OK」をクリックします。

 

それぞれのユーザー・オブジェクトへのユーザー資格証明の格納

Logon ManagerをActive Directoryで使用する主な利点は、それぞれのユーザー・オブジェクトの下にユーザー資格証明を格納できることです。こうすることで、次のような管理の簡略化が図れます。

·         個別のユーザーの資格証明を検索したり表示する操作がすばやく直感的になります。

·         ディレクトリからユーザーを削除すると、ユーザーのアプリケーション資格証明のキャッシュがそれぞれのユーザー・オブジェクトから自動的に削除されます。

注意:  このオプションは、必要なスキーマの変更と権限の割当てを行わないかぎり機能しません。手順については、「Logon ManagerのためのActive Directoryの準備」を参照してください。

注意:  ユーザー資格証明がそれぞれのユーザー・オブジェクトの下に格納され、資格証明オブジェクトの使用が有効になっている場合、Locatorオブジェクトを使用する必要がありません。(フラット・ディレクトリ・モデルを使用している場合、Locatorは、テンプレート、資格証明およびその他のオブジェクトをディレクトリ内で検索してLogon Managerに伝えるポインタ・オブジェクトです(詳細は「付録B: Logon Manager ADのクラスおよび属性」を参照)。)


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

有効にするには: チェック・ボックスを選択して、ドロップダウン・リストから
「Under respective directory user objects」を選択します。

リポジトリ接続設定

次のようにLogon Managerのリポジトリ接続設定を構成することをお薦めします。

Logon Managerによる最も近いドメイン・コントローラの検出

使用している環境でこのフィールドに特定の値を入力する必要がないかぎり、Logon Managerでネットワーク上の最も近いドメイン・コントローラを検出し、同期するように設定することをお薦めします。たとえば、
エンド・ユーザーのマシンが同一ドメイン(ディレクトリとして)上にない場合は、正しいドメイン名を入力する必要があります。このフィールドに完全なURLをハードコードすると、そのDCがオフラインになったときのフォルト・トレランス(フォールバック)が失われます。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

Logon Managerが最も近いDCを検出するには: チェック・ボックスの選択を解除します(デフォルトの設定)。

設定するには: チェック・ボックスを選択して()ボタンをクリックし、必要な値を(1行ごとに1つずつ)入力して「OK」をクリックします。


 

SSLのサポート

Logon ManagerリポジトリのシンクロナイザはSSLサポートが有効の状態で出荷されるので、これを無効にしないことを強くお薦めします。使用する環境では、セキュリティを最大化するために、Logon Managerおよびその他のリポジトリへのすべての接続に必ずSSLを使用してください。

注意: Logon Managerをデプロイする前に、SSLを使用するようにドメイン・コントローラを構成してください。手順の詳細は、次のMSDN記事を参照してください。http://msdn.microsoft.com/en-us/library/aa364671(VS.85).aspx


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

有効にするには(無効になっている場合): チェック・ボックスの選択を解除します。

 

ディレクトリに対する認証時に使用する資格認証の選択

「Credentials to use」オプションを使用して、ディレクトリに対する認証を行う場合に、Logon Managerで使用する資格証明を選択します。Logon Managerがディレクトリに対して認証できない場合に、ユーザーに再認証のためのプロンプトが表示されないように、これを「Use local computer credentials only」に設定することをお薦めします。

注意: これをデフォルトの設定(「Try local computer credentials; if it fails, use Active Directory server account」)のままにしないでください。デフォルト設定のままにすると、ディレクトリとエンド・ユーザー・マシンが同じドメイン上にない場合に、
認証が失敗します(無効に設定していないかぎり、再認証のプロンプトが表示されます)。

注意: Smart Cardを使用してLogon Managerに対する認証を行う場合、ドロップダウン・メニューから「Use card’s certificate」を選択することで、カードの資格証明を使用してリポジトリに対する認証を行うこともできます。詳細は、『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』を参照してください。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから適切なオプションを選択します。


 

ディレクトリへの接続が切断された場合にユーザーにプロンプトを表示するかどうかの決定

認証が失敗したかまたは切断された場合に、ディレクトリに対して再認証を行うには、「Prompt when disconnected」オプションを使用して、Logon Managerがユーザーにプロンプトを表示するかどうかを決定します。ユーザーの不要な混乱とそれによるヘルプデスクへの問合せを避けるために、この設定をデフォルト値の「No」のままにすることをお薦めします。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから適切なオプションを選択します。

このオプションは、前述した「Credentials to use」オプションに直接関連し、「Allow disconnected operation」「No」に設定されている場合は何も効果はありません。

 

Logon Managerによるユーザー・アカウントの検索

使用している環境でこのフィールドに特定の値を入力する必要がないかぎり、Logon ManagerによってActive Directory内のユーザー・アカウントが自動的に検索されるようにしておくことをお薦めします。このフィールドにパスを間違ってハードコードしたり、そのパスを変更した場合は、このコンソール以外のツールを使用して各エンド・ユーザーのマシンを更新することが必要になります。

警告: 本番環境では、フォルト・トレランスを維持するために、このフィールドは常に空白にしてください。

ヒント: ドメインを1つのみ使用している場合や、ほとんどのユーザーが1つのプライマリ・ドメインに所属する場合は、ドメイン名を指定することで、Windowsパスワードを使用してLogon Managerに対する認証を行うときに、エンド・ユーザーがドメイン名を入力しなくて済むようになります。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」>「ADEXT」

Logon Managerによるユーザー・アカウントの検索を行うには: チェック・ボックスの選択を解除します(デフォルト設定)。

設定するには: チェック・ボックスを選択して()ボタンをクリックし、必要な値を(1行に1つずつ)入力して「OK」をクリックします。

「Synchronizer order」リストへのActive Directoryシンクロナイザの追加

現在の環境が次のいずれかに該当する場合は、Active Directory (ADEXT)シンクロナイザ・プラグインがインストールされていて、「Synchronizer order」リストで有効になっていることを確認してください。

·         Logon Managerが複数のリポジトリと同期している。

·         Logon Managerがローミング同期を使用している。

·         現在の環境にKiosk Managerがインストールされている。

注意:  複数のリポジトリおよびローミング同期に対応するようにLogon Managerを構成する手順やLogon Managerのインストールおよび構成方法は、このガイドでは取り扱いません。詳細は、使用しているバージョンのLogon ManagerやKiosk Managerに関するドキュメントを参照してください。

 


場所: 「Global Agent Settings」>「Live」>「Synchronization」

設定するには: チェック・ボックスを選択して、()ボタンをクリックします。表示されるリストで、「ADEXT」の隣のチェック・ボックスを選択して、
「OK」をクリックします。必要に応じて、上向きまたは下向きの矢印を使用して、同期順を設定します。

起動時に同期を待つようにLogon Managerエージェントを構成する手順

ユーザーが常に最新の資格証明、アプリケーション・テンプレート、パスワード・ポリシーおよび管理オーバーライドを持つようにするには、起動時に同期を待つようにエージェントを構成します。このオプションを有効にすると、エージェントはディレクトリがオンラインかどうかを確認します。ディレクトリがオンラインの場合は、ディレクトリと正常に同期するまで、エージェントはアプリケーションのログオン・リクエストに応答しません。
ディレクトリがオフラインの場合は、エージェントは同期を試行せずにすぐに起動します。


 場所:
「Global Agent Settings」>「Live」>「Synchronization」

設定するには: チェック・ボックスを選択して、ドロップダウン・リストから「Yes」を選択します。

 

最適化された同期の使用

最適化された同期は、Logon Managerエージェントに、前回の同期の後で変更された資格証明のみを同期するように指示します。現在の環境に応じて、次のいずれかを実行します。

·         ユーザーごとの資格証明が大量にある場合は、このオプションを有効にすると、デプロイメントでの同期パフォーマンスが向上します。

·         ユーザーごとの資格証明が4つ以下で、ユーザーごとにダウンロードしたテンプレートが大量にある場合は、このオプションを無効にすると、デプロイメントでの同期パフォーマンスが向上します。


 場所: 「Global Agent Settings」>「Live」>「Synchronization」

現在の環境で特に指定する必要がない場合は、デフォルト値(「Yes」)を使用してください。

接続なし操作の制約

デプロイ中にディレクトリへの接続を確立できない場合には、Logon Managerエージェントが実行されないように構成します。これにより、エージェントがディレクトリに接続されていない状態で、かつローカル・キャッシュが存在しない場合に、「First Time Use」(FTU)ウィザードが完了してしまうことを回避できます。ディレクトリが使用できないときにエージェントが実行されないようにすることで、ディレクトリから切断されているのにFTUウィザードが完了して暗号化鍵の2つ目のセットが作成されてしまう、というよくある状況を回避できます。 

注意: この必要なベスト・プラクティスの詳細は、『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』
Logon Managerエージェントの構成に関する項を参照してください。


 場所: 「Global Agent Settings」>「Live」>「Synchronization」

設定するには:チェック・ボックスを選択して、ドロップダウン・リストから「No」を選択します。

推奨管理オーバーライド

ドメイン名やオブジェクトのパスなどのディレクトリの同期設定は、管理オーバーライドとしてデプロイしないでください。(この説明は「グローバル・エージェント設定および管理オーバーライド」を参照してください。)推奨されるオーバーライドのベスト・プラクティスについては、Oracle Enterprise Single Sign-On Suite Plusセキュア・デプロイメント・ガイドおよび『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』のLogon Managerエージェントの構成に関する項を参照してください。

第2部: デプロイメントの手順

この部では、Microsoft Active Directoryを使用したLogon Managerのデプロイメントの最も重要な手順を説明します。内容は次のとおりです。

·         デプロイメント・プロセスの概要

·         Logon ManagerのためのActive Directoryの準備

·         Active Directoryシンクロナイザの構成

·         Logon Managerの構成のテスト


 

デプロイメント・プロセスの概要

この項では、MS Active DirectoryでのLogon Managerのデプロイメント・プロセスについて、その概要を説明します。デプロイメントを進める前に、このドキュメントの前の項にすべて目を通すようにしてください。MS Active DirectoryでのLogon Managerのデプロイでは、次の手順を実行する必要があります。

1.       次のドキュメントを入手します。

·         このドキュメントの最新バージョン

·         『Oracle Enterprise Single Sign-On Suite Plusインストレーション・ガイド』

·         『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』

2.       使用しているバージョンのLogon Manager用インストレーション・ガイドの説明に従って、ドメイン内のマシンにLogon ManagerエージェントおよびLogon Manager管理コンソールをインストールします。エージェントのインストール時には、Active Directoryシンクロナイザ・プラグインが選択されていることを確認してください。

3.       「Logon ManagerのためのActive Directoryの準備」の手順を完了します。

a.       Logon Managerのクラスと属性を使用してActive Directoryスキーマを拡張します。

b.      ユーザー・オブジェクトへのユーザー資格証明の格納を有効にします。

c.       必要なツリー構造を作成して必要な権限を付与します。

4.       次のようにLogon Managerを構成します。

a.       「Active Directoryシンクロナイザの構成」の手順を完了します。

b.      このガイドの「推奨グローバル・エージェント設定」で説明されているオプションを構成します。

c.       「Logon Managerの構成のテスト」の説明に従って構成をテストします。

d.      Logon Managerベスト・プラクティス: Logon Managerの構成のガイドで説明されているオプションを構成します。

注意: 該当する設定の詳細は、コンソールのオンライン・ヘルプを参照してください。オンライン・ヘルプは、コンソールの「Help」メニューから参照できます。

5.       テスト用のマシンで次の手順を実行します。

·         主なテンプレートおよびポリシーのパイロット・セットを作成します。

·         本番環境にデプロイされる、主なテンプレート、グローバル・エージェント設定、管理オーバーライドをそれぞれテストして、エンド・ユーザーの操作性を最終調整します。

6.       ベスト・プラクティス: 大量デプロイメント用のLogon Managerのパッケージ化のガイドで説明されている手順を完了して、カスタムMSIパッケージを作成し、エンド・ユーザーのマシンにデプロイします。

7.       残りのアプリケーション・テンプレートの作成、テスト、デプロイメントを行います。異なるアプリケーション・タイプのプロビジョニングの詳細は、それぞれのアプリケーション・タイプ(Windows、Web、メインフレーム)のLogon Managerベスト・プラクティスのガイドで、テンプレートの構成および診断に関する説明を参照してください。

Logon ManagerのためのActive Directoryの準備

この項では、Active DirectoryをLogon Managerで使用するための基本的な準備手順について説明します。
この準備では、それぞれのユーザー・オブジェクトに資格証明を格納できるように、Logon Managerのクラスと属性を使用してActive Directoryスキーマを拡張し、必要なツリー構造を作成します。この手順を開始する前に、次の手順が完了していることを確認してください。

1.       Active Directoryスキーマに対するヘルス・チェックの実行。手順については次の記事を参照してください。http://www.microsoft.com/technet/opsmgr/2005/library/dirmgmtpack/
dirmgmtpackmom_3.mspx

2.       Logon Manager管理コンソールのインストール(使用しているバージョンのLogon Manager用のLogon Managerインストレーションおよび設定ガイドの説明を参照)。

手順1: スキーマの拡張

1.       Logon Manager管理コンソールを起動します。デフォルトでは、コンソールのショートカットは「スタート」>「プログラム」>「Oracle」>「Logon Manager」>「Logon Manager Console」にあります。

注意: 開発およびステージング環境では、Internet Explorerの「発行元証明書の取り消しを確認する」オプションを無効にして、コンソールの起動時に、マシンがインターネットに接続されていない場合の遅延が起きないようにします。(この遅延は、Internet Explorerによるサーバー証明書の確認が行われて、証明書認証局にアクセスできずタイムアウトするまでの時間です。)このオプションは本番マシンでは無効にしないでください。

2.       コンソールで、「Repository」メニューから「Extend Schema」を選択します。コンソールに「Connect to Repository」ダイアログが表示されます。

3.       「Server Name」フィールドに、スキーマのマスター・ドメイン・コントローラの完全修飾IPアドレス、ホスト名またはNetBIOS名を入力します。

4.       「Repository Type」ドロップダウン・リストで、「Microsoft Active Directory Server」を選択します。

5.       ディレクトリで接続をリスニングしているポート番号を入力します。デフォルトのポートは、SSL接続の場合は636、非SSL接続の場合は389です。

6.       (オプション) SSLを使用するようにドメイン・コントローラを構成している場合は、「Use secure channel (SSL)」オプションを有効のままにし、使用しない場合は無効にします。(詳細はSSLサポートの構成に関する説明を参照してください。)

7.       「Username/ID」および「Password」フィールドで、Logon ManagerがActive Directory
に接続するときに使用するアカウントの資格証明を入力します。環境によっては、ユーザー名の一部に対応するドメイン名を含める必要があります(例: ITSLIFE\Jim)。

8.       「OK」をクリックして、コンソールがスキーマの拡張を実行するのを待ちます。コンソールに進行状況を示すステータス・ダイアログが表示されます。スキーマが正常に拡張されると、
ステータス・ダイアログに確認のメッセージが表示されます。

 

説明: schema_progress.png


スキーマの拡張が失敗した場合、トラブルシューティングの手順については付録C「Active Directoryスキーマの拡張の失敗」を参照してください。

9.       「Close」をクリックします。


 

手順2: ユーザー・オブジェクトへのユーザー資格証明の格納の有効化

それぞれのユーザー・オブジェクトへのユーザー資格証明の格納を有効にすると、Logon Managerによってディレクトリ内で次の変更が行われます。

·         利用可能な上位クラスとしてuserクラスをvGOUserDataクラスに追加します。

·         すべてのユーザーにvGOUserDataオブジェクトを作成する権限を付与します。これらの権限は、ディレクトリ・ルートで付与され、ユーザー・オブジェクトまで再帰的に継承されます。

それぞれのユーザー・オブジェクトへのユーザー資格証明の格納を有効にするには、次の手順を実行します。

1.       コンソールで、「Repository」メニューから、「Enable Storing Credentials Under User Object (AD Only)」を選択します。Active Directoryスキーマに変更が行われることを知らせる確認ダイアログがコンソールに表示されます。

2.       「OK」をクリックして、コンソールが変更を行うのを待ちます。変更が完了すると、次のようにコンソールに確認ダイアログが表示されます。



3.       変更が正常に行われたことを確認します。

a.       Microsoft管理コンソールで、「Active Directoryスキーマ」スナップインを開きます。
スナップインがコンソールに存在しない場合は、次の手順に従ってインストールします。

http://technet2.microsoft.com/windowsserver/en/library/
    8c76ff67-9e9d-4fc7-bfac-ffedee8a04d41033.mspx?mfr=true

b.      「Classes」ノードを展開してvGOUserDataクラスにナビゲートします。

c.       vGOUserDataクラスを右クリックし、コンテキスト・メニューから「Properties」を選択します。

d.      「vGOUserData Properties」ダイアログで、「Relationship」タブを選択します。


 

e.      userクラスが「Possible Superior」フィールドに表示されているかどうかを確認します。

説明: vgoUserData_relationship.png


利用可能な上位クラスにuserクラスが表示されていない場合、考えられる原因および修正手順については、付録C「すべてのユーザーがユーザー・オブジェクトの下に資格証明を格納できない」を参照してください。

注意: 保護されているグループのメンバー(たとえば、ユーザーのACLがAdminSDHolderオブジェクトによって管理されているユーザー)は、AdminSDHolder ACLがこの機能に必要な権限で更新されるまでは、そのメンバーのユーザー・オブジェクトの下に資格証明を格納できません。この問題の修正手順については、付録C「一部のユーザーがユーザー・オブジェクトの下に資格証明を格納できない」を参照してください。


 

手順3: Logon Manager構成オブジェクト・コンテナ
およびサブツリー構造の作成

注意: 既存のコンテナを使用してLogon Managerオブジェクトを格納することもできますが、その場合、ディレクトリのパフォーマンスが低下することがあります。構成オブジェクト専用のコンテナを作成することをお薦めします。

1.       Logon Manager管理コンソールで、左側ペインの「Repository」ノードを選択します。

2.       右側ペインで「Click here to connect」リンクをクリックします。コンソールに「Connect to Repository」ダイアログが表示されます。

3.       26から27ページの手順3から7の説明に従って、フィールドを入力し、「OK」をクリックして接続します。

4.       次に示すように、このツリーで対象の親コンテナを右クリックし、コンテキスト・メニューから「New Container」を選択します。

 

 

コンソールに「New Container」ダイアログが表示されます。

説明: new_container.png

5.     「New Container」ダイアログで、必要な名前を入力して「OK」をクリックします。

注意: 現在の環境で、このコンテナに特定の名前を必要としない場合は、デフォルト名のSSOConfigを使用することをお薦めします。

6.     手順4と5を繰り返して、必要な追加のコンテナを作成します。

Active Directoryシンクロナイザの構成

Logon Manager用のActive Directoryの準備ができたら、現在の環境用にActive Directoryシンクロナイザを構成します。テンプレート・クライアント・マシン上でこれらの設定を構成し、エンド・ユーザーへのLogon Managerのデプロイに使用するMSIパッケージに、その構成を含めます。この手順を開始する前に、Logon Manager管理コンソールおよびLogon Managerエージェント(Active Directoryシンクロナイザ・プラグインを含む)がインストールされていることを確認します。

注意: ディレクトリの同期が行われる環境では機能しないので、アプリケーション・テンプレートをMSIパッケージに含めないでください。MSIパッケージにテンプレートを直接含める機能は、特別な場合にのみ使用します。かわりに、Logon Managerエージェントによる自動取得用のディレクトリにそれらをプッシュ送信します。

1.       Logon Manager管理コンソールを起動します。

2.       左側ペインで、「Global Agent Settings」ノードを右クリックして、
コンテキスト・メニューから「Import」>「From Live HKLM」を選択します。現在のエージェント設定がWindowsのレジストリからコンソールにインポートされます。

3.       「推奨グローバル・エージェント設定」および「推奨管理オーバーライド」の手順に従ってエージェントを構成します。

注意: 設定の横のチェック・ボックスが選択されていない場合は、設定のデフォルト値(チェック・ボックスの右にグレー表示されている値)が使用されます。

4.       後で参照するために、構成をXMLファイルに保存します。「File」メニューから「Save」を選択し、必要なファイル名を入力して「Save」をクリックします。設定を変更する場合は、このXMLファイルをコンソールにロードして元の選択に戻すことができます。

5.       「Tools」メニューから「Write Global Agent Settings to HKLM」を選択します。コンソールによって、変更がレジストリに書き込まれ、エージェントが再起動されます。

6.       次の項に進みLogon Managerの構成を完了します。


 

Logon Managerの構成のテスト

Logon Managerの構成が完了したら、次に示す手順でテストを行い、Logon Managerが正しく機能しない場合はエラーを修正します。

1.       Logon Manager管理コンソールを起動します。

2.       左側ペインで、「Global Agent Settings」ノードを右クリックして、
コンテキスト・メニューから「Import」>「From Live HKLM」を選択します。現在のエージェント設定がWindowsのレジストリからコンソールにインポートされます。

3.       「Tools」メニューから「Test Global Agent Settings」を選択します。

4.       表示される警告を読み、「OK」をクリックして続行します。

 

 

5.       「Logon Manager Configuration Test Manager」ウィンドウが表示されます。ウィンドウの手順に従って、構成のテストを行い、エラーがある場合はそれを修正します。各オプションの詳細は、ウィンドウの右上にある「Help」(疑問符のマーク)ボタンをクリックします。

 

 

次の手順

ベスト・プラクティス: Logon Managerエージェントの構成およびベスト・プラクティス: 大量デプロイメント用のLogon Managerのパッケージ化のガイドを参照して、Logon Managerの構成を完了し、それをエンド・ユーザーのマシンにデプロイします。

第3部: 付録

この部では、このガイドの前半の説明を補足する資料を示します。
付録の内容は次のとおりです。

·         付録A: Logon Manager ADオブジェクト用の最小管理権限

·          付録B: Logon Manager ADのクラスおよび属性

·          付録C: Active DirectoryでのLogon Managerのトラブルシューティング


·          

付録A: Logon Manager ADオブジェクト用の最小管理権限

この付録では、Logon Managerが機能するために特定のLogon Managerオブジェクトに付与する必要がある最小管理権限を示します。

注意: この付録の情報は参考用です。デフォルトでは、Active Directoryスキーマを拡張すると、Logon Managerによって自動的に適切な権限が設定されます。必要に応じて、これらの権限を手動で付与し、Microsoft管理コンソールを使用してActive Directory内で直接変更できます。

Logon Managerコンテナで必要な最小管理権限

Logon Managerによってテンプレートやポリシーなどの構成項目が格納される各コンテナには、次の管理権限を付与する必要があります。

·         内容の一覧表示

·         すべてのプロパティの読取り

·         すべてのプロパティの書込み

·         削除

·         読取り権限

·         権限の変更

·         所有者の変更

·         vGOConfigオブジェクトの作成

·         vGOConfigオブジェクトの削除

·         組織単位オブジェクトの作成

·         組織単位オブジェクトの削除

資格証明の監査に必要な最小管理権限

ユーザー資格証明を監査するには、vGOUserDataオブジェクトとvGOSecretオブジェクトに次の管理権限を付与する必要があります。

vGOUserDataオブジェクト:

·         内容の一覧表示

·         すべてのプロパティの読取り

vGOSecretオブジェクト:

·         内容の一覧表示

·         すべてのプロパティの読取り


 

資格証明の削除に必要な最小管理権限

ユーザー資格証明を削除するには、vGOUserDataオブジェクトとvGOSecretオブジェクトに次の管理権限を付与する必要があります。

注意: 資格証明を削除できるユーザーは、それらを監査することもできます。

vGOUserDataオブジェクト:

·         内容の一覧表示

·         すべてのプロパティの読取り

·         削除

·         サブツリーの削除

·         すべての子オブジェクトの削除

vGOSecretオブジェクト:

·         内容の一覧表示

·         すべてのプロパティの読取り

·         削除

·        サブツリーの削除

·         すべての子オブジェクトの削除

付録B: Logon Manager ADのクラスおよび属性

この付録では、スキーマの拡張の際に、Logon Managerによってディレクトリに追加されるディレクトリ・クラス、属性およびアクセス権限について説明します。

vGOUserData

vGOUserDataオブジェクトはアプリケーション資格証明を格納するコンテナです。(資格証明は、タイプvGOSecretのオブジェクトとして格納されます。)

 

属性:

属性名

構文

フラグ

vGOSecretData

大/小文字が区別されない文字列

Singled Valued、Synchronize

vGORoleDN

未使用

 

その他のオプションの属性

ou、dn、cn、o


アクセス権限:
ユーザーは、自分のユーザー・オブジェクトにある前述の属性に対して、読取りおよび書込みを行うことができます。
管理者には完全な権限がありますが、このオブジェクトの暗号化された子(vGOSecret)を
読み取ることはできません。

vGOSecret

vGOSecretオブジェクトは、各ユーザーのアプリケーション資格証明を格納するオブジェクトや削除したオブジェクトなど、すべてのユーザーの機密情報を格納します。これは、補助クラスとしてvGOUserDataオブジェクトに追加されます。

属性:

属性名

構文

フラグ

vGOSecretData

大/小文字が区別されない文字列

Singled Valued、Synchronize

vGOSharedSecretDN

未使用

 

その他のオプションの属性

ou、dn、cn、o


アクセス権限:
vGOUserDataオブジェクトから継承されており、すべてのユーザーがこのオブジェクトを読み取ることができますが、所有者のみがこのオブジェクトに書き込むことができ、所有者または管理者のみがこのオブジェクトを削除できます。




 

vGOConfig

vGOConfigは、アプリケーション・テンプレート、パスワード生成ポリシー、管理オーバーライドなどのLogon Manager構成オブジェクトを格納するコンテナです。

 

属性:

属性名

構文

フラグ

vGOConfigType

大/小文字が区別されない文字列

Singled Valued、Synchronize

vGOConfigData

大/小文字が区別されない文字列

Singled Valued、Synchronize

vGORoleDN

未使用

 

その他のオプションの属性

ou、dn、cn、o


アクセス権限:
すべてのユーザーには、このオブジェクト内の属性に対して読取り専用権限があります。
管理者には完全な権限があります。

vGOLocatorClass

vGOLocatorClassはポインタ・オブジェクト・クラスです。このクラスのオブジェクトは、ユーザー資格証明の格納先をLogon Managerエージェントに伝えます。

 

属性:

属性名

構文

フラグ

vGOLocatorAttribute

大/小文字が区別されない文字列

Single Valued

その他のオプションの属性

dn、cn、o


アクセス権限:
すべてのユーザーには、このクラスのすべてのオブジェクトに関して、これらの属性に対する読取り/比較/検索の権限があります。

 


 

付録C: Active DirectoryでのLogon Managerのトラブルシューティング

この付録では、Logon Managerのデプロイメント中に発生する可能性のある問題について説明し、それらの問題の解決方法を示します。

Active Directoryスキーマの拡張の失敗

ADスキーマの拡張に失敗した場合は、次の手順に従って原因を特定し、修正します。

1.       次の項目を確認してから、スキーマの拡張をもう一度試してみます。

·         拡張を実行しているマシンが、ディレクトリと同じドメインに属している。

·         スキーマのマスターDCに対して拡張を実行している。

·         スキーマ管理者としてログオンしている。

2.       それでもスキーマの拡張に失敗する場合は、Logon Manager管理コンソールをスキーマ・マスターDCに直接インストールして、スキーマの拡張をローカルで実行します。この解決方法はネットワークの問題(DNSの問題など)をすべて除外するので、ADスキーマにエラーがないかぎり失敗しません。

3.       それでもスキーマを拡張できない場合は、スキーマが破損している可能性があります。
MicrosoftのMOMツールを使用してスキーマの状態を確認し、使用しているスキーマが、次のMS TechNetの記事で説明されているMicrosoftのベスト・プラクティスに準拠していることを確認します。http://technet.microsoft.com/en-us/library/bb727085.aspx

すべてのユーザーがユーザー・オブジェクトの下に資格証明を格納できない

ユーザー・オブジェクトへの資格証明の格納を有効にしている場合、Logon Managerによって、vGOUserDataタイプおよびvGOSecretタイプのオブジェクトを作成する権限がすべてのユーザーに付与されます。これらの権限は、ディレクトリ・ルートで付与され、それぞれのユーザー・オブジェクトのすべてに継承されます。これらの権限が付与されていないか、または適切に継承されていない場合、それぞれのユーザー・オブジェクトの下にアプリケーション資格証明を格納できません。次のような原因が考えられます。

·         必要な権限が付与されていない。Logon Manager管理コンソールで、「Repository」メニューから「Enable storage of credentials under the user object (AD only)」を選択し、Logon Managerによって必要な権限が付与されるように設定する必要があります。

·         権限が、ユーザー固有の子ドメインではなく親ドメインで付与されており、子ドメインに適切に伝播されていない。このような場合、親ドメインのDCで実行しているコンソールを使用して必要な権限を自動的に付与するか、またはそれぞれの子ドメインのルートで権限を手動で付与して、それらがユーザー・オブジェクトまで伝播するのを待ちます。

注意: この問題が特定のユーザー・グループ(管理者、パワー・ユーザーなどの保護されたグループのメンバー)のみに関連する場合は、「一部のユーザーがユーザー・オブジェクトの下に資格証明を格納できない」を参照してください。

一部のユーザーがユーザー・オブジェクトの下に資格証明を格納できない

ユーザー・オブジェクトに資格証明を格納するために必要な権限は、ツリー・ルートで付与され、ユーザー・オブジェクトに継承されます。一部のユーザー(管理者などの保護されたユーザー・グループのメンバー)だけがユーザー・オブジェクトの下に資格証明を格納できない場合、その原因として最も可能性の高いのは、AdminSDHolderオブジェクトによる権限の継承のブロックです。すべての保護されたグループのACLを制御する、オブジェクトのACLは、デフォルトで権限の継承を禁止しています。この問題の詳細は、http://support.microsoft.com/kb/817433にあるMSナレッジ・ベースの記事を参照してください。

次の保護されたユーザー・グループは、この問題による影響を受けることがわかっています。

·         Enterprise Admins

·         Schema Admins

·         Domain Admins

·         Administrators

·         Account Operators

·         Server Operators

·         Print Operators

·         Backup Operators

·         Cert Publishers

この特定の問題が存在するかどうかを確認するには、次の手順を実行します。

1.       ドメイン管理者としてプライマリDCにログインします。

2.       Microsoft管理コンソールを開き、
「Active Directoryユーザーとコンピュータ」スナップインをロードします。

3.       「表示」メニューから、「拡張機能」を選択します。

4.       関連するユーザー・オブジェクトにナビゲートし、右クリックして「プロパティ」を選択します。

5.       表示されるダイアログで、「セキュリティ」タブを選択します。

6.       「詳細設定」をクリックします。「セキュリティの詳細設定」ダイアログが表示されます。

説明: administrator_permissions.png

 

7.       ダイアログで、次の設定を確認します。

a.       「親からの継承可能なアクセス許可を...」チェック・ボックスの選択が解除されている。

b.      手順6の図で強調表示されている権限がリストに存在しない。

前述の条件が満たされている場合、ユーザー・オブジェクトはディレクトリ・ルートから必要な権限を継承していません。

この問題を修正するには、手動でAdminSDHolderオブジェクトのACLを変更して、vGOConfigタイプとvGOUserDataタイプのオブジェクトを作成する権限を付与する必要があります。手順は次のとおりです。

1.       ドメイン管理者としてプライマリDCにログインします。

2.       Microsoft管理コンソールで、「Active Directoryスキーマ」スナップインを開きます。

3.       左側のツリーで、「クラス」ノードをドリル・ダウンして、「vGOUserData」ノードを見つけます。

4.       「vGOUserData」クラスを右クリックし、コンテキスト・メニューから「プロパティ」を選択します。

5.       表示されたダイアログで、「関係」タブを選択します。

6.       「上位クラスの追加」ボタンをクリックします。


 

7.       表示されるダイアログのドロップダウン・リストから「コンテナ」を選択して「OK」をクリックします。
「コンテナ」クラスが「利用可能な上位クラス」フィールドに表示されます。

8.       「OK」をクリックして、プロパティ・ダイアログを閉じます。

9.       Microsoft管理コンソールで、「Active Directoryユーザーとコンピュータ」スナップインを開きます。

10.   「表示」メニューから、「拡張機能」を選択します。

11.         次の場所に存在する「AdminSDHolder」コンテナに移動します。
cn=AdminSDHolder,cn=System,dc=<domainName>,dc=<domainSuffix>

12.   「AdminSDHolder」コンテナを右クリックして「プロパティ」を選択します。

13.   「プロパティ」ダイアログで、「セキュリティ」タブを選択して「詳細設定」をクリックします。

14.   「セキュリティの詳細設定」ダイアログで、「追加」をクリックします。

15.   「ユーザー、コンピュータ、またはグループの選択」ダイアログで、SELFと入力して「OK」をクリックします。

16.   「アクセス許可エントリ」ダイアログで、次の手順を実行します。

a.       「適用先」ドロップダウン・リストで、「このオブジェクトとすべての子オブジェクト」を選択します。

注意: vGOUserDataオブジェクトの作成権限と削除権限が権限リストに表示されない場合は、「適用先」ドロップダウン・リストから、かわりとして「ユーザー オブジェクト」を選択します。同様の事例は、異なるバージョンやパッチのActive Directoryと、基礎となるオペレーティング・システム間で発生します。

b.      権限リストで、強調表示されている次の権限の「許可」チェック・ボックスを選択します。

説明: vgoUserData_permissions.png

c.       「OK」をクリックします。

17.   SDプロパゲータ(SDPROP)・プロセスを起動して、ネットワーク全体に即座に変更を伝播します。SDプロパゲータ・プロセスの起動手順は、http://support.microsoft.com/kb/251343にあるMicrosoftナレッジ・ベースの記事を参照してください。

注意: この手順で前述の権限を「このオブジェクトのみ」に適用するバージョンがある場合でも無視してください。これは非推奨であり、現在は前述の手順が優先します。