JP1/Base 運用ガイド
ユーザー認証のうち,ログイン認証だけをディレクトリサーバで行えます。ディレクトリサーバと連携したログイン認証を,ディレクトリサーバ連携機能といいます。連携するディレクトリサーバはActive Directoryです。
ディレクトリサーバ連携機能では,JP1ユーザー名のパスワードはディレクトリサーバが管理します。パスワードをディレクトリサーバが管理すると,JP1/Baseのシステム管理者はパスワードを更新する必要がなくなります。ディレクトリサーバを利用した業務のパスワード更新作業として,各ユーザーがパスワードを定期的に更新するためです。なお,JP1ユーザー名,JP1資源に対するJP1権限レベルは認証サーバが管理します。ログイン認証後は,JP1製品に対するアクセス権限や操作権限を認証サーバで付与します。
ディレクトリサーバでパスワードが管理されるJP1ユーザーを連携ユーザーと呼びます。認証サーバでパスワードを含めたすべてが管理されるJP1ユーザーを標準ユーザーと呼びます。
どのJP1ユーザーを連携ユーザー,標準ユーザーとするかは,認証サーバで設定します。
- <この項の構成>
- (1) 設定
- (2) ユーザー認証の流れ
- (3) ディレクトリサーバと連携した場合の運用について
- (4) ディレクトリサーバと連携した場合のトラブル発生時に出力されるメッセージ
(1) 設定
ディレクトリサーバ連携機能はデフォルトで無効に設定されています。ディレクトリサーバ連携機能を使用するためには,共通定義の設定を変更する必要があります。設定の詳細については,「4.3 ディレクトリサーバと連携してログイン認証をする場合の設定(Windowsの場合)」を参照してください。
設定を変更したあと,ディレクトリサーバとの接続状態および設定内容をコマンドで確認できます。また,ディレクトリサーバがトラブルのために使用できなくなった場合,コマンドを使って一時的に接続先を切り替えることができます。
(2) ユーザー認証の流れ
ディレクトリサーバと連携してログイン認証をする場合の,ユーザー認証の流れを次の図に示します。
図1-5 ディレクトリサーバと連携したユーザー認証の例
(3) ディレクトリサーバと連携した場合の運用について
ディレクトリサーバと連携する場合,次の点に考慮して運用してください。
- JP1ユーザーのパスワードをユーザーが定期的に変更できるため,JP1管理者のパスワード管理が不要になります。
- JP1/Baseの認証サーバでの認証処理のほかに次の処理が発生するため,ログイン認証に時間が掛かることがあります。
なお,認証サーバとディレクトリサーバ間の通信はLDAPプロトコルが使用されます。
- 認証サーバとディレクトリサーバ間の通信
- ディレクトリサーバでのログイン認証
(4) ディレクトリサーバと連携した場合のトラブル発生時に出力されるメッセージ
ディレクトリサーバと接続できなかった場合およびディレクトリサーバでログイン認証を失敗した場合,統合トレースログにエラーメッセージが出力されます。出力されるメッセージは次の七つです。
- KAVA1677-W(ディレクトリサーバと接続できなかったことを示すメッセージ)
- KAVA1678-W(ディレクトリサーバでのログイン認証が失敗したことを示すメッセージ)
- KAVA1679-W(その他のトラブルを示すメッセージ)
- KAVA1687-W(ディクトリサーバ連携情報の取得失敗を示すメッセージ)
- KAVA1688-W(ディクトリサーバ連携情報の値に誤りがあることを示すメッセージ)
- KAVA1690-W(ディクトリサーバ連携機能が無効に設定されていることを示すメッセージ)
- KAVA1691-W(ディレクトリサーバでのログイン認証に失敗したJP1ユーザー名を示すメッセージ)
メッセージの詳細については,マニュアル「JP1/Base メッセージ」を参照してください。
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.