2.4.1 LDAP対応のディレクトリサービスの設定
(1) 前提となるDIT
ディレクトリサービスでは,DITと呼ばれる階層構造で情報を管理します。ディレクトリサービスの環境を構築する場合,まずこのDITの構造をどうするか検討する必要があります。
DocumentBroker Standard GUIでは,次の図に示すようなDITを前提としています。
図2-7 前提となるDIT
![[図データ]](figure/zu020400.gif)
(2) エントリとDN
エントリは,DITを構成する情報でDITの各節に該当します。上図の場合,「DC=jp」,「DC=hitachi」,「OU=people」,「sAMAccountName=a12345」などがエントリになります。エントリは,左辺と右辺を等号(=)でつないでいます。左辺はプロパティ名,右辺はプロパティ値を表します。また,エントリは,一つ以上のプロパティによって構成されています。ディレクトリサービスでは,データをエントリおよびプロパティによって管理します。
DNは,各エントリを一意に識別するための情報名です。ファイルシステム内のファイルパスのように扱われます。DNは,コンマ(,)で区切られたエントリの集まりです。DNでは,いちばん左の位置に最下位のエントリを指定し,いちばん右側の位置に最上位のエントリを指定していきます。
DocumentBroker Standard GUIでは,次に示す3種類のエントリを使用します。
各エントリについて(a)~(c)で説明します。
なお,(a)~(c)で説明するエントリが利用できる環境をディレクトリサービスで構築する必要があります。プロパティには,Active Directory,Sun Java System Directory ServerまたはOracle Directory Serverが標準で持つプロパティを割り当ててください。標準で持つプロパティを割り当てられない場合は,プロパティを追加し,そのプロパティを割り当ててください。プロパティの追加およびプロパティへの値の設定方法については,各ディレクトリサービスのマニュアルを参照してください。
- 注意
- Sun Java System Directory ServerまたはOracle Directory Serverを使用する場合,次に示すことに注意してプロパティを割り当ててください。
- プロパティの範囲を設定する必要はありません。
- プロパティの構文の設定値である「Unicode文字列」は「Country String」になります。
(a) ユーザエントリ
ユーザ情報を持つエントリです。「OU=people,DC=hitachi,DC=jp」の下位エントリになります。ユーザエントリでは,次の表に示すプロパティが必要になります。
表2-8 ユーザエントリで必要なプロパティ項目
プロパティ名※ | 説明 | プロパティの仕様 |
---|
sAMAccountName | ユーザのIDを設定します。 ユーザのIDには半角英数字を使用してください。 ユーザエントリ内で一意なIDを設定してください。 | - プロパティの用途:ユーザID
- プロパティの構文:ASCII半角文字列および「-」,「.」,「@」,「_」
- プロパティの範囲:1~60
- プロパティ単一または複数:単一値
|
unicodePwd | ユーザのパスワードを設定します。 | - プロパティの用途:パスワード
- プロパティの構文:ASCII半角文字列
- プロパティの範囲:1~60
- プロパティ単一または複数:単一値
|
displayName | ユーザの表示名称を設定します。 | - プロパティの用途:表示名称
- プロパティの構文:Unicode文字列
- プロパティの範囲:1~255
- プロパティ単一または複数:単一値
|
mail | ユーザのメールアドレスを設定します。 | - プロパティの用途:メールアドレス
- プロパティの構文:ASCII半角文字列
- プロパティの範囲:0~256
- プロパティ単一または複数:単一値
|
ou | ユーザが所属する組織のIDを設定します。 | - プロパティの用途:所属組織ID
- プロパティの構文:ASCII半角文字列
- プロパティの範囲:1~64
- プロパティ単一または複数:複数
|
userType | ユーザの種別に応じたユーザ種別IDを設定します。 ユーザの種別とユーザ種別IDの対応は,表2-8を参照してください。 なお,DocumentBroker Serverに設定したアクセス権だけを使用する場合,この指定は不要です。 この指定を省略した場合のユーザの扱いについては,表2-9を参照してください。 | - プロパティの用途:ユーザ種別ID
- プロパティの構文:ASCII半角文字列
- プロパティの範囲:1~64
- プロパティ単一または複数:単一値
|
- (凡例) -:ディレクトリサービスの仕様に従います。
- 注※
- プロパティ名は初期設定値です。プロパティ名は,配置ディスクリプタ(web.xml)のコンテキストパラメタで変更できます。配置ディスクリプタ(web.xml)の設定方法は,「2.5.1 配置ディスクリプタ(web.xml)の設定」を参照してください。
表2-9 ユーザの種別とユーザ種別IDの対応
種別 | ユーザ種別ID※ | 説明 |
---|
システム管理者 | 135 | DocumentBroker Standard GUIを使用したシステムを運用,管理,および保守するユーザです。 |
ルート管理者 | 15 | ルートを管理するユーザです。 |
フォルダ管理者 | 7 | フォルダ階層を管理するユーザです。 |
文書作成ユーザ | 3 | 文書を作成するユーザです。 |
文書参照ユーザ | 1 | 文書を参照するユーザです。 |
- 注※
- ここで説明している以外の値をユーザ種別IDに指定した場合,そのユーザは文書参照ユーザとして登録されます。また,数値以外の文字列を指定した場合は,ログイン時にエラーが出力されログインに失敗します。
- 注意
- DocumentBroker Standard GUIのシステム管理者とDocumentBrokerのセキュリティ管理者が,同じユーザになるように設定してください。
- また,DocumentBroker Standard GUIのユーザの種別を使用しないで,DocumentBroker Serverに設定したアクセス権だけを使用する場合,DocumentBroker Standard GUIとのユーザの種別の関係は,次の表のとおりになります。
表2-10 DocumentBroker Serverに設定したアクセス権だけを使用する場合のユーザの扱い
DocumentBroker Serverでのユーザの種別 | DocumentBroker Standard GUIでのユーザの扱い |
---|
セキュリティ管理者 | システム管理者と同じ扱いになります。 |
上記以外のユーザ | フォルダ管理者と同じ扱いになります。 |
(b) 組織エントリ
組織情報を持つエントリです。「OU=unit,DC=hitachi,DC=jp」の下位エントリになります。組織エントリでは,次の表に示すプロパティが必要になります。
表2-11 組織エントリで必要なプロパティ項目
プロパティ名※ | 説明 | プロパティの仕様 |
---|
sAMAccountName | 組織のIDを設定します。 組織のIDには半角英数字を使用してください。 組織エントリ内で一意なIDを設定してください。また,グループエントリに設定するグループIDと重複させないでください。 | - プロパティの用途:組織ID
- プロパティの構文:ASCII半角文字列および「-」,「.」,「@」,「_」
- プロパティの範囲:1~64
- プロパティ単一または複数:単一値
|
description | 組織の表示名称を設定します。 | - プロパティの用途:表示名称
- プロパティの構文:Unicode文字列
- プロパティの範囲:1~255
- プロパティ単一または複数:単一値
|
member | 組織に所属するユーザのユーザIDプロパティのDNを設定します。
- (例)
- sAMAccountName=a12345,OU=people,DC=hitachi,DC=jp
| - プロパティの用途:組織所属メンバー
- プロパティの構文:DN
- プロパティの範囲:なし
- プロパティ単一または複数:複数
|
- 注※
- プロパティ名は初期設定値です。プロパティ名は,配置ディスクリプタ(web.xml)のコンテキストパラメタで変更できます。配置ディスクリプタ(web.xml)の設定方法は,「2.5.1 配置ディスクリプタ(web.xml)の設定」を参照してください。
(c) グループエントリ
グループ情報を持つエントリです。「OU=group,DC=hitachi,DC=jp」の下位エントリになります。グループエントリでは,次の表に示すプロパティが必要になります。
表2-12 グループエントリで必要なプロパティ項目
プロパティ名※ | 説明 | プロパティの仕様 |
---|
sAMAccountName | グループのIDを設定します。 グループのIDには半角英数字を使用してください。 グループエントリ内で一意なIDを設定してください。また,組織エントリに設定する組織IDと重複させないでください。 | - プロパティの用途:グループID
- プロパティの構文:ASCII半角文字列および「-」,「.」,「@」,「_」
- プロパティの範囲:1~64
- プロパティ単一または複数:単一値
|
description | グループの表示名称を設定します。 | - プロパティの用途:表示名称
- プロパティの構文:Unicode文字列
- プロパティの範囲:1~255
- プロパティ単一または複数:単一値
|
member | グループに所属するユーザのユーザIDプロパティのDNを設定します。
- (例)
- sAMAccountName=a12345,OU=people,DC=hitachi,DC=jp
| - プロパティの用途:グループ所属メンバー
- プロパティの構文:DN
- プロパティの範囲:なし
- プロパティ単一または複数:複数
|
- 注※
- プロパティ名は初期設定値です。プロパティ名は,配置ディスクリプタ(web.xml)のコンテキストパラメタで変更できます。配置ディスクリプタ(web.xml)の設定方法は,「2.5.1 配置ディスクリプタ(web.xml)の設定」を参照してください。
(3) Active Directoryを利用する場合の設定
ここでは,ディレクトリサービスにActive Directoryを利用する場合の設定方法について説明します。
(a) 動作環境の設定
ディレクトリサービスに対して匿名でバインドする場合,次の設定を行ってください。
- Windows Server 2012以外の場合,Active Directoryは「Windows 2000以前のサーバと互換性があるアクセス許可」のモード(互換モード)で動作させてください。
- Windows Server 2012の場合,「新しいフォレストおよびルート ドメインの機能レベル」は「Windows Server 2003」を指定してください。
なお,Active DirectoryをWindows Server 2003,またはWindows Server 2008で動作させる場合は,次の設定もしてください。
- 「CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,RootDomain※」のプロパティ「dSHeuristics」に「0000002」を設定してください。
注※ RootDomainはActive DirectoryのルートDNを指定してください。
- Active Directoryの「ユーザとコンピュータ」で,匿名アクセス対象のノードに対してセキュリティ設定「ANONYMOUS LOGON」グループを追加して,必要な権限を与えてください。
(b) クライアントからパスワードを変更するときの設定
Active Directoryを利用している環境で,クライアントからユーザのパスワードを変更するときは,証明書サービスのインストールと証明書のエクスポートをしてください。
エクスポートした証明書は,uCosminexus Application Serverのkeytoolコマンドを使用して,Java実行環境のキーストアファイルに登録してください。証明書を登録する方法は,「2.4.4(2) 証明書の登録」を参照してください。
- 注意
- パスワード変更機能を使用する場合は,パスワードの変更履歴を採らないようにしてください。
証明書サービスのインストールと証明書のエクスポート手順を,次に示します。
●Windows Server 2012の場合
- サーバーマネージャーウィンドウを表示します。
- [ダッシュボード]画面の[2.役割と機能の追加]をクリックします。
役割と機能の追加を選択します。
- [役割と機能の追加ウィザード]ウィンドウが表示されます。[次へ]ボタンをクリックします。
[インストールの種類の選択]画面が表示されます。
- [役割ベースまたは機能ベースのインストール]ラジオボタンをチェックします。[次へ]ボタンをクリックします。
- [対象サーバーの選択]画面が表示されます。インストールするサーバを選択し,[次へ]ボタンをクリックします。
[サーバーの役割の選択]画面が表示されます。
- [Active Directory 証明書サービス]チェックボックスを選択して,[次へ]ボタンをクリックします。
- メニューで[AD CS]-[役割サービス]を選び,役割サービスの[証明機関]チェックボックスを選択します。[次へ]ボタンをクリックします。
- メニューで[確認]を選び,[インストールオプションの確認]画面からインストールを実行します。
以降は,ウィザードの指示に従って,証明書サービスをインストールしてください。
証明書サービスのインストールが完了したら,対象サーバにActive Directory証明書サービスを構成します。
- [サーバーマネージャー]から[AD-CS]を選びます。
- [通知]ボタンをクリックし,「対象サーバーにActive Directory証明書サービスを構成する」をクリックします。
Active Directory証明書サービスの構成が完了したら,認証局(CA)の証明書をActive Directoryが動作しているマシンから次に示す手順でエクスポートしてください。
- スタートメニューから[証明機関]をクリックします。
- [CAマシン]を右クリックして,表示されるポップアップメニューから[プロパティ]を選択します。
[プロパティ]ダイアログが表示されます。
- [全般]タブの[証明書の表示(View Certificate)]をクリックします。
- [詳細]ビューを選択して,[ファイルへコピー(Copy to File)]ボタンをクリックします。
[証明書のエクスポート(Certificate Export)ウィザード]が表示されます。
以降,ウィザードの指示に従って,証明書をエクスポートしてください。
●Windows Server 2008,およびWIndows Server 2012以外の場合
- Windowsの[コントロール パネル]ダイアログで[アプリケーションの追加と削除]をダブルクリックします。
[アプリケーションの追加と削除]ダイアログが表示されます。
- [Windowsコンポーネントの追加と削除]ボタンをクリックします。
[Windowsコンポーネント ウィザード]が表示されます。
- [証明書サービス]のチェックボックスをチェックして,[次へ]ボタンをクリックします。
証明書サービスのインストールが完了したら,認証局(CA)の証明書をActive Directoryが動作しているマシンから次に示す手順でエクスポートしてください。
- Windowsの[コントロール パネル]ダイアログで[管理ツール]をダブルクリックします。
[管理ツール]ダイアログが表示されます。
- [証明機関(Certificate Authority)]をダブルクリックします。
[CA Microsoft Management Console(MMC)]が表示されます。
- [CAマシン]を右クリックして,表示されるポップアップメニューから[プロパティ]を選択します。
[プロパティ]ダイアログが表示されます。
- [全般]タブの[証明書の表示(View Certificate)]をクリックします。
- [詳細]ビューを選択して,[ファイルへコピー(Copy to File)]ボタンをクリックします。
[証明書のエクスポート(Certificate Export)ウィザード]が表示されます。
以降,ウィザードの指示に従って,証明書をエクスポートしてください。
●Windows Server 2008の場合
- Windowsの[コントロール パネル]ダイアログで[プログラムと機能]をダブルクリックします。
[プログラムと機能]ダイアログが表示されます。
- タスクで[Windows機能の有効化または無効化]をクリックします。
[ユーザーアカウント制御]ダイアログが表示されます。
- [続行]ボタンをクリックします。
[サーバーマネージャー]画面が表示されます。
- [役割の概要]で[役割の追加]をクリックします。
[役割の追加ウィザード]画面が表示されます。
- [次へ]ボタンをクリックします。
[サーバーの役割の選択]画面が表示されます。
- [Active Directory 証明書サービス]チェックボックスを選択して,[次へ]ボタンをクリックします。
- メニューで[AD CS]-[役割サービス]を選び,役割サービスの[証明機関]チェックボックスを選択します。[次へ]ボタンをクリックします。
証明書サービスのインストールが完了したら,認証局(CA)の証明書をActive Directoryが動作しているマシンからエクスポートします。エクスポート手順は,Windows Server 2008の場合と同じです。Windows Server 2008の場合を参照してください。
(4) Sun Java System Directory ServerまたはOracle Directory Serverを利用する場合の設定
ここでは,ディレクトリサービスにSun Java System Directory ServerまたはOracle Directory Serverを利用する場合の設定方法について説明します。
なお,Sun Java System Directory Serverは,DocumentBroker Version 3と連携する場合に使用できます。
(a) 動作環境の設定
動作環境の設定方法については,Sun Java System Directory ServerまたはOracle Directory Serverのマニュアルを参照してください。
(b) クライアントからパスワードを変更するときの設定
クライアントからユーザのパスワードを変更するときは,Sun Java System Directory ServerまたはOracle Directory ServerにSSL接続ができる環境を構築する必要があります。SSL接続ができる環境を構築する方法については,Sun Java System Directory ServerまたはOracle Directory Serverのマニュアルを参照してください。
SSL接続で使用する証明書(サーバ証明書)は,uCosminexus Application Serverのkeytoolコマンドを使用して,Java実行環境のキーストアファイルに登録してください。証明書を登録する方法については,「2.4.3(2) 証明書の登録」を参照してください。
- 注意
- パスワード変更機能を使用する場合は,パスワードの変更履歴を採らないようにしてください。