6 設定の構成
一般的なOracle Linux Automation Manager設定は、「設定」ページの「管理」セクションから構成できます。これらの設定は、次のカテゴリにグループ化されます。
-
認証: 認証に関連する一般設定を提供します。
-
ジョブ: ジョブに関連する一般設定を提供します。
-
システム: Oracle Linux Automation Managerシステムに関連する一般設定を提供します。
-
ユーザー・インタフェース: Oracle Linux Automation Managerユーザー・インタフェースに関連する一般設定を提供します。
これらのフィールドの詳細は、アップストリームのドキュメントを参照してください。
LDAP認証の構成
管理者は、Oracle Linux Automation Managerの認証メカニズムを1つ以上の既存のLightweight Directory Access Protocol (LDAP)サーバーと統合して、ユーザー管理を一元化し、Active Directoryなどの既存のアイデンティティ管理プラットフォームとの統合を強化できます。
LDAP認証を構成するには:
- Oracle Linux Automation Managerにログインします。
-
ナビゲーション・メニューを展開し、「設定」をクリックします。
設定ページが表示されます。
- 「設定」ページの「認証」パネルで、「LDAP設定」をクリックします。
「LDAP設定」ページには複数のタブが表示され、複数のLDAPサーバーの構成の詳細を入力できます。「編集」ボタンをクリックしてデフォルトのLDAPサーバーを構成し、「デフォルト」タブに表示されるフィールドに情報を入力します:
- LDAPサーバーのURI
- LDAPサーバーにアクセスするためのURIをldap://<host>:<port>の形式で指定します。<host>はLDAPサーバーのホスト名、<port>はLDAPサーバーが使用するTCPポート番号です。このフィールドは必須です。たとえば、次のようになります
ldap://ldap1.example.com:389
LDAPサーバーがSSLを使用している場合は、URIのスキーム・コンポーネント内でプロトコルとしてldapsを指定できます。たとえば、次のようになりますldaps://ldap1.example.com:636 - LDAPバインドDN
- バインド操作を使用してLDAPサーバーに対してOracle Linux Automation Managerを認証するために使用する識別名(DN)を指定します。LDAPサーバーが匿名アクセスを許可していない場合は、このフィールドは必須です。たとえば、次のようになります:
uid=admin,cn=users,cn=accounts,dc=example,dc=com
- LDAPバインド・パスワード
- すでに指定したバインドDNのバインド・パスワードを入力します。パスワードはOracle Linux Automation Managerデータベース内で暗号化され、入力時には表示されません。
- LDAP開始TLS
- LDAPサーバーがこの機能を使用するように構成されており、有効なSSL/TLS証明書がサーバー上に構成されているかどうかに応じて、開始TLS暗号化を有効または無効にします。LDAPサーバーURIのURIスキーム・コンポーネントでプロトコルをldapsに設定している場合は、このオプションを有効にしないでください。
- LDAPユーザーDNテンプレート
- ユーザー名が入力されたときに、特定のDNに対して自動的に認証するために使用できるLDAPユーザーDNテンプレートをオプションで構成します。このテンプレートでは、%(user)s変数を使用してユーザー名を自動的に入力できます。たとえば、次のようになります:
uid=%(user),ou=Users,dc=example,dc=com
- LDAPグループ・タイプ
- ドロップダウン・セレクタから適切なLDAPグループ・タイプを選択します。このオプションは、LDAPサーバーがユーザーを認可する際に、ユーザーのグループ・メンバーシップを決定する方法を定義します。LDAPグループ・タイプは、グループに定義されているObjectClassにマップされ、LDAPサーバーによって異なる場合があります。ここで選択したオプションは、ユーザーがLDAP必須グループまたはLDAP拒否グループに属しているかどうかを判断するために実行される問合せで使用されるフィルタを制御します。
- LDAP必須グループ
- オプションで、認証を受けるためにユーザーが属している必要があるグループのDNを指定して、LDAP必須グループを構成します。このオプションにより、ユーザーは特定のユーザー・グループに属していないかぎり、Oracle Linux Automation Managerで認証できなくなります。たとえば、次の例では、olamusersというグループを必須グループとして設定します:
cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com - LDAP拒否グループ
- オプションで、認証を受けるためにユーザーが属することができないグループのDNを指定して、LDAP拒否グループを構成できます。このオプションはLDAP必須グループとは逆の動作をし、指定されたグループに属するユーザーはOracle Linux Automation Managerで認可されません。たとえば、次の例ではengineersというグループを拒否グループとして設定します:
cn=engineers,cn=groups,cn=accounts,dc=example,dc=com
- LDAPユーザー検索
- 「LDAPユーザー検索」フィールドでは、Oracle Linux Automation Managerでユーザーが認証を受けることを認可されているかどうかを判断する際に使用する検索DN、スコープ、およびフィルタを構成できます。また、このフィールドを使用して、Oracle Linux Automation ManagerでLDAP認証されたユーザーがナビゲーション・メニューの「アクセス」セクションの「ユーザー」ページに表示される際に、そのユーザーに関する情報を入力することもできます。たとえば、次のようになります:
[ "cn=users,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(uid=%(user)s)" ]
- LDAPグループ検索
- LDAPグループ検索フィールドでは、ユーザーが属するグループを判断する際に使用する検索DN、スコープ、およびフィルタを構成できます。この検索問合せは、LDAP組織とチームのマッピング処理にも使用されます。たとえば、次のようになります:
[ "cn=groups,cn=accounts,dc=example,dc=com", "SCOPE_SUBTREE", "(objectClass=posixgroup)" ]
- LDAPユーザー属性マップ
- LDAPユーザー属性マップを使用すると、ユーザー・エントリのLDAP属性を、UI内でユーザーに関する情報を入力するために使用されるOracle Linux Automation Manager属性にマップできます。マップ可能なOracle Linux Automation Manager属性は次のとおりです:
- first_name
- last_name
これらの属性を、LDAPサーバー内のユーザーの属性エントリにマップできます。たとえば、次は属性マップを示しています:{ "first_name": "givenName", "last_name": "sn", "email": "mail" } - LDAPグループ・タイプ・パラメータ
- この設定は、LDAPサーバーでグループ検索を実行する際に使用するパラメータを制御します。ここでは、次の2つの設定を使用できます:
{ "member_attr": "member", "name_attr": "cn" }Active Directoryを使用している場合は、member_attr属性を設定せず、構成から除外する必要があります。 - グループ別LDAPユーザー・フラグ
- グループ別LDAPユーザー・フラグ・フィールドでは、LDAPグループをOracle Linux Automation Manager内の異なるロールにマップできます。特定のグループに属するLDAPユーザーを
superusersとして構成し、別のグループに属するユーザーをauditorsとして構成できます。認証されたその他のすべてのユーザーには、Oracle Linux Automation Manager内で標準のユーザー権限が付与されます。たとえば、次のようになります:{ "is_superuser": [ "cn=olamadmins,cn=groups,cn=accounts,dc=example,dc=com" ], "is_system_auditor": [ "cn=olamauditors,cn=groups,cn=accounts,dc=example,dc=com" ] } - LDAP組織マップ
- Oracle Linux Automation Managerの組織マッピングを構成するには、LDAPグループとOracle Linux Automation Manager内の組織間のマッピングを指定する必要があります。組織は、このフィールドに指定するJSON形式の文字列内のキーとして表されます。各組織マッピングについて、グループ内のユーザーと管理者のグループ・エントリのキーを指定します。各マップには、次のキーと値を含めることができます:
- admins:
-
なし: 組織管理者はLDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーが組織の管理者として自動的に追加されます。
-
False: LDAPユーザーは、組織の管理者として追加されません。
-
組織内で管理ロールを割り当てることができるグループ・メンバーを問い合せるためにグループDNを指定する文字列または文字列のリスト。
-
- remove_admins:
-
True: 管理グループのメンバーでないユーザーは、組織の管理ユーザーから削除されます。
-
False: 管理グループのメンバーであるユーザーは、組織の管理ユーザーに追加されます。
-
- users:
-
なし: 組織ユーザーは、LDAP値に基づいて更新されません。
-
True: LDAP内のすべてのユーザーが組織のユーザーとして自動的に追加されます。
-
False: LDAPユーザーは、組織のユーザーとして追加されません。
-
組織内でユーザー・ロールを割り当てることができるグループ・メンバーを問い合せるためにグループDNを指定する文字列または文字列のリスト。
-
- remove_users:
-
True: ユーザー・グループのメンバーでないユーザーは、組織のユーザーから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、組織のユーザーに追加されます。
-
- admins:
- LDAPチーム・マップ
- LDAPチーム・マップはLDAP組織マップに似ており、各エントリの主キーは組織単位ではなくチームにマップされます。各エントリの主なオプションと値は次のとおりです:
- organization: 組織マッピングまたはOracle Linux Automation Manager自体で定義された組織。エントリが指定されていない場合、または組織が存在しない場合は、組織は自動的に作成されます。
- users:
-
なし: チーム・メンバーは、LDAPから自動的に更新されません。
-
True: LDAP内のすべてのユーザーがチーム・メンバーとして自動的に追加されます。
-
False: LDAPユーザーは、チーム・メンバーとして追加されません。
-
チーム・メンバーとして追加できるグループ・メンバーを問い合せるためにグループDNを指定する文字列または文字列のリスト。
-
- remove:
-
True: ユーザー・グループのメンバーでないユーザーは、チームから削除されます。
-
False: ユーザー・グループのメンバーであるユーザーは、チームに追加されます。
-
{ "LDAP Team 1": { "organization": "LDAP Group 1", "users": "cn=olamusers,cn=groups,cn=accounts,dc=example,dc=com", "remove": false }, "LDAP Support": { "organization": "LDAP Group 1", "users": "cn=support,cn=groups,cn=accounts,dc=example,dc=com", "remove": true } }