6 設定の構成
Oracle Linux Automation Managerの一般設定は、設定ページの管理セクションから構成できます。 これらの設定は、次のカテゴリに分類されます:
-
認証: 認証に関連する一般設定を提供します。
-
ジョブ: ジョブに関連する一般設定を提供します。
-
システム: Oracle Linux Automation Managerシステムに関連する一般設定を提供します。
-
ユーザー・インタフェース: Oracle Linux Automation Managerユーザー・インタフェースに関連する一般設定を提供します。
これらのフィールドの詳細は、アップストリームのドキュメントを参照してください。
LDAP認証の構成
管理者は、Oracle Linux Automation Manager認証メカニズムを1つ以上の既存のLightweight Directory Access Protocol (LDAP)サーバーと統合して、一元化されたユーザー管理を実現し、Active Directoryなどの既存のアイデンティティ管理プラットフォームとより適切に統合できます。
LDAP認証を構成するには:
- Oracle Linux Automation Managerにログインします。
-
ナビゲーション・メニューを展開し、「設定」をクリックします。
設定ページが表示されます。
- 設定ページの認証パネルで、「LDAP設定」をクリックします。
「LDAP設定」ページが表示され、複数のLDAPサーバーの構成の詳細を入力できるいくつかのタブが表示されます。 「編集」ボタンをクリックしてデフォルトのLDAPサーバーを構成し、デフォルト・タブに表示されるフィールドに情報を入力します:
- LDAPサーバーURI
- LDAPサーバーにアクセスするためのURIをフォーマットで指定: ldap://<host>:<port>。ここで、<host>はLDAPサーバーのホスト名、<port>はLDAPサーバーが使用するTCPポート番号です。 このフィールドは必須です。 たとえば、
ldap://ldap1.example.com:389
LDAPサーバーがSSLを使用する場合、URIのスキーム・コンポーネント内のプロトコルとしてldapsを指定できます。 たとえば、ldaps://ldap1.example.com:636 - LDAPバインドDN
- バインド操作を使用してLDAPサーバーに対してOracle Linux Automation Managerを認証するために使用する識別名(DN)を指定します。 LDAPサーバーが匿名アクセスを許可しない場合、このフィールドは必須です。 たとえば:
uid=admin,cn=users,cn=accounts,dc=example,dc=com
- LDAPバインド・パスワード
- 上で指定したバインドDNのバインド・パスワードを指定します。 パスワードはOracle Linux Automation Managerデータベース内で暗号化され、入力時には表示されません。
- LDAP開始TLS
- LDAPサーバーのStart TLS暗号化を有効または無効にします。これは、この機能を使用するように構成されていて、有効なSSL/TLS証明書がサーバー上で構成されているかどうかによって異なります。 LDAPサーバーURIのURIスキーム・コンポーネント内でプロトコルをldapsに設定した場合は、このオプションを有効にしないでください。
- LDAPユーザーDNテンプレート
- オプションで、ユーザー名が指定されている場合に、ユーザーの特定のDNに対して自動的に認証するために使用できるLDAPユーザーDNテンプレートを構成します。 テンプレートでは、%(user)s変数を使用してユーザー名を自動的に入力できます。 たとえば:
uid=%(user),ou=Users,dc=example,dc=com
- LDAPグループ・タイプ
- ドロップダウン・セレクタから適切なLDAPグループ・タイプを選択します。 このオプションは、ユーザーの承認を試みる際に、LDAPサーバーがユーザーのグループ・メンバーシップを決定する方法を定義します。 LDAPグループ・タイプは、グループに対して定義されたObjectClassesにマップされ、LDAPサーバーによって異なる場合があります。 ここで選択するオプションは、ユーザーがLDAP要求グループまたはLDAP拒否グループに属するかどうかを決定するために作成される問合せで使用されるフィルタを制御します。
- LDAP必須グループ
- オプションで、ユーザーが認証のために属する必要があるグループのDNを指定して、LDAP要求グループを構成します。 このオプションは、ユーザーが特定のユーザー・グループに属していないかぎり、ユーザーがOracle Linux Automation Managerで認証できないようにします。 たとえば、次のように、olamusersというグループを必須グループとして確立します:
cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com - LDAP拒否グループ
- オプションで、ユーザーが認証されるために属していないグループのDNを指定して、LDAP拒否グループを構成します。 このオプションは、LDAP要求グループの反対であり、ユーザーが指定したグループに属している場合はOracle Linux Automation Managerで認証されないようにします。 たとえば、次の例では、エンジニアというグループを拒否グループとして確立します:
cn=engineers,cn=groups,cn=accounts,dc=example,dc=com
- LDAPユーザー検索
- 「LDAPユーザー検索」フィールドでは、ユーザーがOracle Linux Automation Managerで認証する権限があるかどうかを判断する際に使用される検索DN、スコープおよびフィルタを構成できます。 また、このフィールドを使用して、ナビゲーション・メニューの「アクセス」セクションにある「ユーザー」ページでLDAP認証済ユーザーに関する情報を表示するときに、Oracle Linux Automation ManagerにLDAP認証済ユーザーに関する情報を入力することもできます。 たとえば:
[ "cn=users,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(uid=%(user)s)" ]
- LDAPグループ検索
- 「LDAPグループ検索」フィールドでは、ユーザーが属しているグループを決定する際に使用される検索DN、スコープおよびフィルタを構成できます。 この検索問合せは、LDAP組織およびチーム・マッピングの処理にも使用されます。 たとえば:
[ "cn=groups,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(objectClass=posixgroup)" ]
- LDAPユーザー属性マップ
- LDAPユーザー属性マップを使用すると、ユーザー・エントリのLDAP属性を、UI内のユーザーに関する情報を移入するために使用されるOracle Linux Automation Manager属性にマップできます。 マップできるOracle Linux Automation Manager属性は次のとおりです:
- first_name
- last_name
これらの属性は、LDAPサーバー内のユーザーの属性エントリにマップできます。 次に、属性マップを示します:{ "first_name": "givenName", "last_name": "sn", "email": "mail" } - LDAPグループ・タイプ・パラメータ
- この設定は、LDAPサーバーでグループ検索を実行するときに使用されるパラメータを制御します。 ここでは、次の2つの設定を使用できます:
{ "member_attr": "member", "name_attr": "cn" }Active Directoryを使用している場合は、member_attr属性を設定しないでください。また、構成から除外する必要があります。 - グループ別のLDAPユーザー・フラグ
- 「グループ別LDAPユーザー・フラグ」フィールドでは、Oracle Linux Automation Manager内の別のロールにLDAPグループをマップできます。 特定のグループに属するLDAPユーザーを
superusersとして構成でき、代替グループに属するユーザーをauditorsとして構成できます。 認証される他のすべてのユーザーには、Oracle Linux Automation Manager内の標準ユーザー権限が付与されます。 たとえば:{ "is_superuser": [ "cn=olamadmins,cn=groups,cn=accounts,dc=example,dc=com" ], "is_system_auditor": [ "cn=olamauditors,cn=groups,cn=accounts,dc=example,dc=com" ] } - LDAP組織マップ
- Oracle Linux Automation Managerの組織マッピングを構成するには、LDAPグループとOracle Linux Automation Managerの組織との間のマッピングを指定する必要があります。 組織は、このフィールドに指定するJSON形式の文字列内にキーとして表示されます。 組織マッピングごとに、グループ内のユーザーおよび管理者のグループ・エントリのキーを指定します。 各マップには次のキーと値を指定できます:
- admins:
-
なし: 組織管理者はLDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーは、組織の管理者として自動的に追加されます。
-
False: 組織の管理者としてLDAPユーザーは追加されません。
-
組織内の管理ロールを割り当てることができるグループ・メンバーを問い合せるグループDNを指定する文字列または文字列のリスト。
-
- remove_admins:
-
True: 管理者グループのメンバーではないユーザーは、組織の管理ユーザーから削除されます。
-
False: 管理者グループのメンバーであるユーザーは、組織管理ユーザーに追加されます。
-
- users:
-
なし: 組織ユーザーはLDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーは、組織のユーザーとして自動的に追加されます。
-
False: 組織のユーザーとしてLDAPユーザーは追加されません。
-
組織内のユーザー・ロールを割り当てることができるグループ・メンバーを問い合せるグループDNを指定する文字列または文字列のリスト。
-
- remove_users:
-
True: ユーザー・グループのメンバーではないユーザーは、組織のユーザーから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、組織ユーザーに追加されます。
-
- admins:
- LDAPチーム・マップ
- LDAPチーム・マップはLDAP組織マップに似ており、各エントリの主キーは組織単位ではなくチームにマップされます。 各エントリの主なオプションと値は次のとおりです:
- organization: 組織マッピングまたはOracle Linux Automation Manager内で定義された組織。 入力が指定されていないか、組織が存在しない場合は、組織が自動的に作成されます。
- users:
-
None: チーム・メンバーはLDAPから自動的に更新されません。
-
True: LDAPのすべてのユーザーは、自動的にチーム・メンバーとして追加されます。
-
False: チーム・メンバーとしてLDAPユーザーは追加されません。
-
チーム・メンバーとして追加できるグループ・メンバーを問い合せるグループDNを指定する文字列または文字列のリスト。
-
- remove:
-
True: ユーザー・グループのメンバーではないユーザーは、チームから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、チームに追加されます。
-
{ "LDAP Team 1": { "organization": "LDAP Group 1", "users": "cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com", "remove": false }, "LDAP Support": { "organization": "LDAP Group 1", "users": "cn=support,cn=groups,cn=accounts,dc=example,dc=com", "remove": true } }