6 設定の構成
Oracle Linux Automation Managerの一般設定は、設定ページの管理セクションから構成できます。 これらの設定は、次のカテゴリに分類されます:
-
認証: 認証に関連する一般設定を提供します。
-
ジョブ: ジョブに関連する一般設定を提供します。
-
システム: Oracle Linux Automation Managerシステムに関連する一般設定を提供します。
-
ユーザー・インタフェース: Oracle Linux Automation Managerユーザー・インタフェースに関連する一般設定を提供します。
これらのフィールドの詳細は、アップストリームのドキュメントを参照してください。
LDAP認証の構成
管理者は、Oracle Linux Automation Manager認証メカニズムを1つ以上の既存のLightweight Directory Access Protocol (LDAP)サーバーと統合して、一元化されたユーザー管理を実現し、Active Directoryなどの既存のアイデンティティ管理プラットフォームとより適切に統合できます。
LDAP認証を構成するには:
- Oracle Linux Automation Managerにログインします。
-
ナビゲーション・メニューを展開し、「設定」をクリックします。
設定ページが表示されます。
- 設定ページの認証パネルで、「LDAP設定」をクリックします。
「LDAP設定」ページには複数のタブが表示され、複数のLDAPサーバーの構成詳細を入力できます。 「編集」ボタンをクリックしてデフォルトのLDAPサーバーを構成し、デフォルト・タブに表示されるフィールドに情報を入力します:
- LDAPサーバーURI
- LDAPサーバーにアクセスするためのURIをフォーマットで指定: ldap://<host>:<port>。<host>はLDAPサーバーのホスト名、<port>はLDAPサーバーが使用するTCPポート番号です。 このフィールドは必須です。 たとえば、
ldap://ldap1.example.com:389
LDAPサーバーでSSLを使用する場合は、URIのスキーム・コンポーネント内のプロトコルとしてldapsを指定できます。 たとえば、ldaps://ldap1.example.com:636 - LDAPバインドDN
- バインド操作を使用してLDAPサーバーに対してOracle Linux Automation Managerを認証するために使用する識別名(DN)を指定します。 LDAPサーバーで匿名アクセスが許可されていない場合、このフィールドは必須です。 たとえば:
uid=admin,cn=users,cn=accounts,dc=example,dc=com
- LDAPバインド・パスワード
- 上で指定したバインドDNのバインド・パスワードを指定します。 パスワードはOracle Linux Automation Managerデータベース内で暗号化され、入力時には表示されません。
- LDAP開始TLS
- この機能をサポートするように構成されているか、有効なSSL/TLS証明書がサーバーに適切に構成されているかに応じて、LDAPサーバーのStart TLS暗号化を有効または無効にします。 LDAPサーバーURIのURIスキーム・コンポーネント内でプロトコルをldapsに設定した場合は、このオプションを有効にしないでください。
- LDAPユーザーDNテンプレート
- オプションで、ユーザー名が指定されたときにユーザーの特定のDNに対して自動的に認証するために使用できるLDAPユーザーDNテンプレートを構成します。 テンプレートでは、%(user) s変数を使用してユーザー名を自動的に入力できます。 たとえば:
uid=%(user),ou=Users,dc=example,dc=com
- LDAPグループ・タイプ
- ドロップダウン・セレクタから適切なLDAPグループ・タイプを選択します。 このオプションは、ユーザーを承認しようとしたときにLDAPサーバーがユーザーのグループ・メンバーシップをどのように決定するかを定義します。 LDAPグループ・タイプは、グループに定義されているObjectClassesにマップされ、LDAPサーバーによって異なります。 ここで選択するオプションは、ユーザーがLDAP要求グループまたはLDAP拒否グループに属するかどうかを決定するために作成される問合せで使用されるフィルタを制御します。
- LDAP必須グループ
- オプションで、ユーザーが認証のために属する必要があるグループのDNを指定して、LDAP要求グループを構成します。 このオプションは、ユーザーが特定のユーザー・グループに属していないかぎり、ユーザーがOracle Linux Automation Managerで認証できないようにします。 たとえば、次のように、olamusersというグループを必須グループとして確立します:
cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com - LDAP拒否グループ
- オプションで、ユーザーが認証されるために属していないグループのDNを指定して、LDAP拒否グループを構成します。 このオプションは、LDAP要求グループの反対であり、ユーザーが指定したグループに属している場合はOracle Linux Automation Managerで認証されないようにします。 たとえば、次の例では、エンジニアというグループを拒否グループとして確立します:
cn=engineers,cn=groups,cn=accounts,dc=example,dc=com
- LDAPユーザー検索
- 「LDAPユーザー検索」フィールドを使用すると、ユーザーがOracle Linux Automation Managerで認証する権限があるかどうかを判断するときに使用する検索DN、スコープおよびフィルタを構成できます。 また、ナビゲーション・メニューのアクセス・セクションの下のユーザー・ページでLDAP認証済ユーザーを表示したときに、Oracle Linux Automation ManagerにLDAP認証済ユーザーに関する情報を移入するためにも使用されます。 たとえば:
[ "cn=users,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(uid=%(user)s)" ]
- LDAPグループ検索
- 「LDAPグループ検索」フィールドを使用すると、ユーザーが属するグループの決定時に使用する検索DN、スコープおよびフィルタを構成できます。 この検索問合せは、LDAP組織およびチーム・マッピングの処理にも使用されます。 たとえば:
[ "cn=groups,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(objectClass=posixgroup)" ]
- LDAPユーザー属性マップ
- LDAPユーザー属性マップを使用すると、ユーザー・エントリのLDAP属性を、UI内のユーザーに関する情報の移入に使用されるOracle Linux Automation Manager属性にマップできます。 マップできるOracle Linux Automation Manager属性は次のとおりです:
- first_name
- last_name
これらの属性をLDAPサーバー内のユーザーの属性エントリにマップできます。 次に、属性マップを示します:{ "first_name": "givenName", "last_name": "sn", "email": "mail" } - LDAPグループ・タイプ・パラメータ
- この設定は、LDAPサーバーでグループ検索を実行するときに使用されるパラメータを制御します。 次の2つの設定があります:
{ "member_attr": "member", "name_attr": "cn" }Active Directoryを使用している場合は、member_attr属性を設定しておらず、構成から除外する必要があることに注意してください。 - グループ別のLDAPユーザー・フラグ
- LDAP User Flags by Groupフィールドを使用すると、LDAPグループをOracle Linux Automation Manager内の様々なロールにマップできます。 特定のグループに属するLDAPユーザーは
superusersとして構成でき、代替グループに属するユーザーはauditorsとして構成できます。 認証される他のすべてのユーザーには、Oracle Linux Automation Manager内の標準ユーザー権限が付与されます。 たとえば:{ "is_superuser": [ "cn=olamadmins,cn=groups,cn=accounts,dc=example,dc=com" ], "is_system_auditor": [ "cn=olamauditors,cn=groups,cn=accounts,dc=example,dc=com" ] } - LDAP組織マップ
- Oracle Linux Automation Managerの組織マッピングを構成するには、Oracle Linux Automation ManagerのLDAPグループと組織の間のマッピングを指定する必要があります。 組織は、このフィールドに指定するJSON形式の文字列内にキーとして表示されます。 組織マッピングごとに、グループ内のユーザーおよび管理者のグループ・エントリのキーを指定します。 各マップには次のキーと値を指定できます:
- admins:
-
None: 組織管理者はLDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーは、組織の管理者として自動的に追加されます。
-
False: 組織の管理者としてLDAPユーザーは追加されません。
-
組織内で管理ロールを割り当てる必要があるグループ・メンバーを問い合せるグループDNを指定する文字列または文字列のリスト。
-
- remove_admins:
-
True: 管理者グループのメンバーではないユーザーは、組織の管理ユーザーから削除されます。
-
False: 管理者グループのメンバーであるユーザーは、組織管理ユーザーに追加されます。
-
- users:
-
None: 組織ユーザーはLDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーは、組織のユーザーとして自動的に追加されます。
-
False: 組織のユーザーとしてLDAPユーザーは追加されません。
-
組織内のユーザー・ロールを割り当てる必要があるグループ・メンバーを問合せするグループDNを指定する文字列または文字列のリスト。
-
- remove_users:
-
True: ユーザー・グループのメンバーではないユーザーは、組織ユーザーから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、組織ユーザーに追加されます。
-
- admins:
- LDAPチーム・マップ
- LDAPチーム・マップはLDAP組織マップに似ており、各エントリの主キーは組織単位ではなくチームにマップされます。 各エントリの主なオプションと値は次のとおりです:
- organization: 組織マッピングまたはOracle Linux Automation Manager内で定義されている組織。 入力が指定されていないか、組織が存在しない場合は、組織が自動的に作成されます。
- users:
-
None: チーム・メンバーはLDAPから自動的に更新されません。
-
True: LDAPのすべてのユーザーは、自動的にチーム・メンバーとして追加されます。
-
False: チーム・メンバーとしてLDAPユーザーは追加されません。
-
チーム・メンバーとして追加する必要があるグループ・メンバーを問い合せるグループDNを指定する文字列または文字列のリスト。
-
- remove:
-
True: ユーザー・グループのメンバーではないユーザーは、チームから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、チームに追加されます。
-
{ "LDAP Team 1": { "organization": "LDAP Group 1", "users": "cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com", "remove": false }, "LDAP Support": { "organization": "LDAP Group 1", "users": "cn=support,cn=groups,cn=accounts,dc=example,dc=com", "remove": true } }