DocumentBrokerのユーザ管理機能としてLDAP対応のディレクトリサービスを使用する場合の設定について説明します。
LDAP対応のディレクトリサービスによるユーザ管理機能を使用する場合,DocumentSpace構成定義ファイルでの設定が必要です。DocumentSpace構成定義ファイルについては,「3.8 文書空間の定義」を参照してください。
(1) ディレクトリサービスの情報管理の概念
ここでは,ディレクトリサービスでの情報の管理方法について,図3-4を基に説明します。
図3-4 ディレクトリサービスで管理する情報の構造の例
(a) DIT
ディレクトリサービスが管理する情報は,図3-4の形式の構造図によって示されます。この構造をDITと呼びます。
(b) エントリ
エントリまたはディレクトリエントリは,DITを構成する情報で,図3-4のDITの各節に該当します(以降,エントリと呼びます)。
図3-4の「c=jp」,「o=Software」,「ou=People1」,「uid=Tanaka」などがエントリです。エントリは,左辺と右辺を「=」(等号)でつないでいます。左辺は属性で右辺は属性値を表します。また,エントリは一つ以上の属性によって構成されています。ディレクトリサービスでは,データをエントリおよび属性によって管理します。
(c) DN
DNは,DITの各エントリを一意に識別するための情報名です。ファイルシステム内のファイルパスのように扱われます。DNは,「,」(コンマ)で区切られたエントリの集まりで,各エントリはディレクトリ内の位置を表す相対識別名(RDN)で構成されます。相対識別名は,「属性=属性値」の形式で表現されます。例えば,uid=Tanakaやou=People1などが相対識別名に当たります。DNは,ファイルシステム内のファイルパスのように扱われますが,相対識別名の並びがファイルシステムとは逆の順番になります。つまり,ファイルシステムでは,ファイルの名称をいちばん右に指定して,左から右へパスを指定していきますが,DNでは,いちばん左の位置にDITの最下層のエントリを指定し,いちばん右側の位置にDITの最上位のエントリを指定していきます。DNの記述例を次に示します。
uid=Tanaka,ou=People1,o=Software,c=jp
この記述例は,図3-4に示した「jp」というディレクトリ内の,「Software」というサブディレクトリ内にある「People1」というサブディレクトリの「Tanaka」というエントリのDNを示します。
(2) LDAP対応のディレクトリサービスへのバインド
DocumentBrokerでLDAP対応のディレクトリサービスへのバインド時に,認証を行うサーババインドを使用するか,認証を行わない匿名バインドを使用するかを選択できます。使用するLDAP対応のディレクトリサービスへのバインド方法に合わせて設定してください。
DocumentBrokerからLDAP対応のディレクトリサービスへのバインド方法は,DocumentSpace構成定義ファイル(docspace.ini)の次に示すエントリに設定します。
DocumentSpace構成定義ファイル(docspace.ini)の設定の詳細は,「4.2 DocumentSpace構成定義ファイル(docspace.ini)」を参照してください。
(3) LDAP対応のディレクトリサービスのユーザ認証
ユーザ管理システムとしてLDAP対応のディレクトリサービスを使用する場合は,DNとパスワードによってユーザを認証します。パスワードのチェックは,ユーザクラスのuserpassword属性の属性値と,ログインするときに入力したパスワードが一致しているかどうかによって行われます。
DocumentBrokerがLDAP対応のディレクトリサービスに対して,DNを指定する方法は次に示す3種類です。運用方法に合わせて,環境を定義してください。
(a) DNを直接指定する方法
セッションを確立する時に,ユーザ名としてDNを直接指定する方法です。
(b) ユーザが指定したDNの一部を基にDocumentBrokerが作成するDNを指定する方法
セッションを確立する時に,DNのうち,最後の相対識別名の属性値だけを指定する方法です。ただし,DocumentSpace構成定義ファイルで,ユーザ識別子として使用する属性とDNを構成するためにDocumentBrokerが補う相対識別名を定義しておく必要があります。ユーザ名の指定によるセッションの確立から,ユーザ認証用のDNの作成までの流れを次に示します。
次に,DocumentBrokerがユーザ認証用のDNを作成するまでの流れを説明します。
この方法は,ユーザがあるディレクトリにフラットに存在する場合にだけ有効です。また,ディレクトリ内に存在するユーザが一意に識別できるようになっている必要があります。
DocumentSpace構成定義ファイルについては,「3.8 文書空間の定義」を参照してください。
(c) DITから検索したDNを指定する方法
セッションを確立する時に,ユーザ属性の任意の一つの値を指定する方法です。セッションを確立する時に,ユーザが指定したユーザ名を基に,DocumentSpace構成定義ファイルで指定したDITを検索してユーザエントリを特定し,そのDNを指定します。この方法を利用すると,指定するユーザ名をわかりやすい名前にできます。また,ディレクトリ構成を意識しないでユーザを特定できます。ただし,ディレクトリ内に存在するユーザが一意に識別できるようになっている必要があります。
DocumentSpace構成定義ファイルについては,「3.8 文書空間の定義」を参照してください。
(4) LDAP対応のディレクトリサービスでのユーザ情報取得
DocumentBrokerのアクセス制御機能を使用して,アクセス制御されている文書に接続する場合,DocumentBrokerはLDAP対応のディレクトリサービスに登録されているユーザに関する情報を使用して,目的の文書に対するアクセスが許可されているかどうか判断します。DocumentBrokerがアクセス制御機能で使用するユーザに関する情報は,ユーザ識別子およびグループ識別子です。ユーザ識別子およびグループ識別子について,次に説明します。
(a) ユーザ識別子
ユーザを一意に識別するための情報です。LDAP対応のディレクトリサービスを使用する場合,ユーザ識別子として使用する属性は,DocumentSpace構成定義ファイルに指定する必要があります。DocumentSpace構成定義ファイルについては,「4.2 DocumentSpace構成定義ファイル(docspace.ini)」を参照してください。
(b) グループ識別子
グループを一意に識別する情報です。LDAP対応のディレクトリサービスでは,「組織」と「グループ」をグループとして扱えます。組織とグループについて次に説明します。
(5) LDAP対応のディレクトリサービスとの連携時の注意