10.4.4 ユーザー識別
ユーザー識別は,「混合モード」および「外部モード」に適用されます。
ユーザー識別のための識別名は,1人のユーザーをディレクトリサービスで特定するための完全に修飾する方法です。NNMiは,ユーザー識別名をLDAP要求でディレクトリサービスに渡します。
ldap.propertiesファイルでのユーザー識別名は,baseFilter値とbaseCtxDN値を連結した値です。ディレクトリサービスによって返されたパスワードがNNMiコンソールにユーザーが入力したサインインパスワードと一致する場合,ユーザーサインインが続行されます。
「混合モード」の場合は,次の情報が適用されます。
-
NNMiコンソールアクセスの場合,NNMiは次の情報を検討し,できるだけ高い権限をユーザーに与えます。
−ldap.propertiesファイルのdefaultRoleパラメータの値
−NNMiコンソールで定義済みのNNMiユーザーグループでの,このユーザーのメンバーシップ
-
NNMiトポロジオブジェクトアクセスの場合,NNMiは,NNMiコンソールでこのユーザーが属するNNMiユーザーグループのセキュリティグループマッピングに従ってアクセス権を与えます。
「外部モード」の場合は,次の情報が適用されます。
-
NNMiコンソールアクセスの場合,NNMiは次の情報を基に,できるだけ高い権限をユーザーに与えます。
−ldap.propertiesファイルのdefaultRoleパラメータの値
−NNMiコンソールで定義済みのNNMiユーザーグループにマッピングされている([ディレクトリサービス名]フィールド)ディレクトリサービスグループでの,このユーザーのメンバーシップ
-
NNMiトポロジオブジェクトアクセスの場合,NNMiは,このユーザーがディレクトリサービス(NNMiコンソールでNNMiユーザーがマッピングされている)で属するグループのセキュリティグループマッピングに従ってアクセス権を与えます。
- Active Directoryでのユーザー識別例
-
baseFilterがCN={0}に,baseCtxDNがOU=Users,OU=Accounts,DC=example,DC=comに設定されている場合,ユーザーがNNMiにjohn.doeとしてサインインすると,次の文字列がディレクトリサービスに渡されます。
CN=john.doe,OU=Users,OU=Accounts,DC=example,DC=com
- そのほかのディレクトリサービスでのユーザー識別例
-
baseFilterがuid={0}@example.comに,baseCtxDNがou=People,o=example.comに設定されている場合,ユーザーがNNMiにjohn.doeとしてサインインすると,次の文字列がディレクトリサービスに渡されます。
uid=john.doe@example.com,ou=People,o=example.com
- 〈この項の構成〉
(1) ディレクトリサービスからのNNMiユーザーアクセスの設定(詳細な方法)
「10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.3 タスク3:ディレクトリサービスからのユーザーアクセスを設定する」の説明にある簡単な方法では正常に機能しない場合は,次の手順を実行します。
-
ディレクトリサービス管理者から,「10.4.3 ディレクトリサービス管理者が所有する情報」の「表10-2 ディレクトリサービスからユーザー名およびパスワードを取得する場合の情報」に示す情報を取得する。
-
適切な手順を完了し,ディレクトリサービスでのユーザー名の形式を確認する。
-
Active Directoryおよびそのほかのディレクトリサービスの場合にLDAPブラウザを使用する方法:「(2) ディレクトリサービスでユーザーを識別する方法の判別(LDAPブラウザを使用する方法)」を参照してください。
-
ほかのディレクトリサービスの場合にWebブラウザを使用する方法:「(3) ディレクトリサービスでユーザーを識別する方法の判別(Webブラウザを使用する方法)」を参照してください。
-
-
任意のテキストエディタでldap.propertiesファイルを開く。
ldap.propertiesファイルの詳細については,「10.7 ldap.properties設定ファイルリファレンス」を参照してください。
-
java.naming.provider.urlパラメータを,LDAPによってディレクトリサービスにアクセスする場合のURLに設定する。
-
LDAPブラウザを使用する方法:LDAPブラウザ設定からこの情報を入手します。
-
Webブラウザを使用する方法:「(3) ディレクトリサービスでユーザーを識別する方法の判別(Webブラウザを使用する方法)」から<ディレクトリサービスホスト>と<ポート>の値を含めます。
複数のディレクトリサービスURLを指定するには,各URLをスペース文字1つで区切ります。
-
-
ディレクトリサービスへのセキュア通信を設定した場合は,次の行のコメントを解除(または追加)する。
java.naming.security.protocol=ssl
-
(Active Directoryだけ)bindDNおよびbindCredentialパラメータを次のように設定する。
-
<mydomain>をActive Directoryドメインの名前で置き換えます。
-
<myusername>および<mypassword>をActive Directoryサーバーにアクセスするときに使用するユーザー名とパスワードで置き換えます。パスワードは平文で保存されるため,ディレクトリサービスへの読み取り専用アクセス権を付与してユーザー名を指定してください。
-
-
baseCtxDNパラメータを,複数のユーザーで同じになっている,識別ユーザー名のエレメントに設定する。
-
NNMiのサインインで入力するときのユーザー名が,ディレクトリサービスでユーザー名が保存されるときの方法と相関するように,baseFilterパラメータを設定する。
この値は,ユーザーごとに変更される識別ユーザー名のエレメントです。実際のユーザー名を式{0}で置き換えます。
-
「10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.4 タスク4:ユーザー名とパスワードの設定をテストする」の説明に従って設定をテストする。
(2) ディレクトリサービスでユーザーを識別する方法の判別(LDAPブラウザを使用する方法)
サードパーティのLDAPブラウザで,次の手順を実行します。
-
ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。
-
ユーザーのグループを識別し,そのグループに関連づけられているユーザーの識別名の形式を調べる。
(3) ディレクトリサービスでユーザーを識別する方法の判別(Webブラウザを使用する方法)
-
サポートされるWebブラウザで,次のURLを入力する。
ldap://<directory_service_host>:<port>/<user_search_string>
-
<directory_service_host>は,ディレクトリサービスをホストするコンピュータの完全修飾名です。
-
<port>は,LDAP通信でディレクトリサービスが使用するポートです。
-
<user_search_string>は,ディレクトリサービスに保存される1つのユーザー名の識別名です。
-
-
ディレクトリサービスのアクセステストの結果を評価する。
-
要求が時間切れになったり,ディレクトリサービスに到達できなかったことを示すメッセージが表示される場合は,<directory_service_host>と<port>の値を確認してから,手順1.を繰り返してください。
-
ディレクトリサービスに要求されたエントリが存在しないことを示すメッセージが表示された場合は,<user_search_string>の値を確認してから,手順1.の操作を繰り返してください。
-
該当するユーザーレコードが表示された場合,そのアクセス情報は正しいことになります。<user_search_string>の値は,識別ユーザー名です。
-