LDAPユーザーを使用する場合,接続するLDAPサーバの情報,およびLDAPユーザーとして設定するLDAPの階層を定義するダイアログボックスです。
このダイアログボックスは,[AJS3 - User Job Operation/Definer]ウィンドウでメニューから[ユーザー]-[LDAP接続情報の設定]を選択すると表示されます。
[LDAP接続情報の設定]ダイアログボックスを次の図に示します。
図13-21 [LDAP接続情報の設定]ダイアログボックス
![[図データ]](figure/zu130190.gif)
表示項目について説明します。
- [LDAPと連携する]チェックボックス
- LDAPと連携する場合にチェックします。
- チェックを外してLDAPとの連携をやめると,公開ジョブネットやユーザーグループで定義したLDAPユーザーやLDAP部署は,表示されなくなります。これらが表示されていない状態で,公開ジョブネット定義をServerに登録したり,ユーザーグループを編集したりすると,定義上からLDAPユーザーやLDAP部署の情報が完全に削除されます。
- [LDAPサーバ名]
- 連携するLDAPサーバのホスト名またはIPアドレスを255バイト以内で指定します。指定できる文字は,半角英数字および次の記号です。
- -(ハイフン) .(ピリオド) _(アンダーバー)
- [ポート番号]
- LDAPサーバに接続するポート番号を指定します。指定できる値は1~65535です。デフォルトは389です。
- [SSLを使用する]チェックボックス
- LDAPサーバとの通信にSSLを使用する場合にチェックします。チェックボックスをチェックすると,[ポート番号]が636に変更されます。
- 補足事項
- LDAPサーバとの通信にSSLを使用する場合,[SSLを使用する]チェックボックスへのチェックのほかに,LDAPサーバおよびServerのセットアップが必要です。LDAPサーバおよびServerのセットアップについては,「4.3.3(2)(c) LDAPサーバとSSL通信をする場合のセットアップ」を参照してください。
- [検索開始位置]
- LDAPユーザーとして設定するLDAPの階層の識別名(DN)を指定します。LDAPのルートドメインまたはOUオブジェクトを指定できます。Active Directoryの場合,ルートドメイン下のUserコンテナも指定できます。ここで設定した階層がLDAPユーザーの組織階層のルートになります。
- 識別名(DN)の指定には,区切り文字としての「,(コンマ)」および「属性名=値」の「=」以外に,「,(コンマ)」,「=」を使わないでください。LDAPサーバとの接続時にエラーになることがあります。
- [表示および認証に使用するLDAP属性名の設定]
- Definerでの表示やClientでの認証に使用する属性名を設定します。
- [組織階層表示名]
- Definerの画面で部署名として表示するOUオブジェクトの属性名を指定します。指定した属性名が存在しない,または指定した属性名の属性値が設定されていない場合は,識別名(DN)の先頭属性値が仮定されます。例えば,識別名(DN)が「o=hitachi,c=JP」の場合は,o属性の値が仮定されます。
- [ユーザー名]
- LDAPユーザーがClientからログインするとき,およびDefinerの画面でユーザー名として表示するときに使用するCNオブジェクトの属性名を指定します。[ユーザー名]に指定した属性名が存在しない,または指定した属性名の属性値が設定されていないユーザーは,Definerで表示されません。
- [ユーザー表示名]
- Definerの画面でユーザー表示名として表示するCNオブジェクトの属性名を指定します。[ユーザー表示名]に指定した属性名が存在しない,または指定した属性名の属性値が設定されていない場合は,ユーザー名が仮定されます。
- [LDAP参照ユーザーの設定]
- LDAPサーバから情報を取得するときに使用するユーザーとパスワードを指定します。
- [エントリ識別名]
- LDAPサーバから情報を取得するときに使用するユーザーを指定します。
- Active Directoryの場合,次の情報を指定します。
- ユーザーの識別名(DN)(例:cn=user01,o=hitachi,c=JP)
識別名(DN)の指定には,区切り文字としての「,(コンマ)」および「属性名=値」の「=」以外に,「,(コンマ)」,「=」を使わないでください。LDAPサーバとの接続時にエラーになることがあります。
- [パスワード]
- LDAPサーバから情報を取得するときに使用するユーザーのパスワードを指定します。入力した値は「*」で表示されます。
●Active Directoryの場合の指定例
連携するLDAP製品がActive Directoryの場合の,[検索開始位置],[組織階層表示名],[ユーザー名],および[ユーザー表示名]の指定例を次に示します。
Active Directoryの階層が次の図のようになっていると仮定します。
図13-22 Active Directoryの階層例
![[図データ]](figure/zu130195.gif)
図の「総務部」をLDAPユーザーの組織階層のルートとして,総務部に所属する「日立花子」と「日立太郎」をLDAPユーザーとして使用する場合,次のように指定します。
- [検索開始位置]ou=総務部,dc=domain,dc=local
- [組織階層表示名]ou
- [ユーザー名]sAMAccountName
- [ユーザー表示名]displayName
このように指定すると,Definerの各項目には次のように表示されます。
図13-23 Definerでの各項目の表示
![[図データ]](figure/zu130197.gif)
- 補足事項
- Active Directoryで組織単位(OUオブジェクト)追加時に設定した名前は,通常name属性およびou属性に格納されます。また,組織単位(OUオブジェクト)の「説明」に設定した情報は,description属性に格納されます。[組織階層表示名]には,「name」,「ou」,「description」などの中から,DefinerのLDAP部署名として表示させたい属性名を選択します。
- Active Directoryでユーザー追加時に設定したユーザーログオン名(ドメイン名を含まない)は,通常sAMAccountName属性に格納されます。また,ユーザーの表示名は通常displayName属性に格納されます。この例の場合,[ユーザー名]には「sAMAccountName」,[ユーザー表示名]には「displayName」を指定しています。