10.4.5 ユーザーグループ識別
ユーザーグループ識別は,「外部モード」の設定に適用されます。
NNMiは,NNMiユーザーのユーザーグループを次のように判断します。
-
NNMiコンソールで設定されているすべてのユーザーグループの外部名の値をディレクトリサービスグループの名前と比較する。
-
ユーザーグループが一致する場合,NNMiユーザーがディレクトリサービスのそのグループのメンバーであるかどうかを判断する。
NNMiコンソールで,短いテキスト文字列によって,NNMiコンソールアクセスを許可する,定義済みのNNMiユーザーグループの一意の名前が識別されます。ldap.propertiesファイルのdefaultRoleおよびuserRoleFilterListパラメータも,このテキスト文字列を必要とします。次の表では,このグループの一意の名前を表示名にマッピングしています。
NNMiコンソールのNNMiロール名 |
NNMi設定ファイルのユーザーグループの一意の名前およびテキスト文字列 |
---|---|
管理者 |
admin |
オペレータレベル2 |
level2 |
オペレータレベル1 |
level1 |
ゲスト |
guest |
Webサービスクライアント |
client |
NNMiグローバルオペレータユーザーグループ(globalops)では,すべてのトポロジオブジェクトだけにアクセス権が与えられます。ユーザーがNNMiコンソールにアクセスするには,ユーザーをほかのどれかのユーザーグループ(level2,level1,またはguest)に割り当てる必要があります。
globalopsユーザーグループはデフォルトですべてのセキュリティグループにマッピングされるため,管理者はこのユーザーグループをセキュリティグループにマッピングしないようにする必要があります。
- 〈この項の構成〉
(1) ディレクトリサービスからのユーザーグループ取得の設定(詳細な方法)
「10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.5 タスク5:(「外部モード」の設定だけ)ディレクトリサービスからのグループの取得を設定する」の説明にある簡単な方法では正常に機能しない場合は,次の手順を実行します。
-
ディレクトリサービス管理者から,「10.4.3 ディレクトリサービス管理者が所有する情報」の「表10-3 ディレクトリサービスからグループメンバーシップを取得する場合の情報」に示す情報を取得する。
-
適切な手順を完了し,ディレクトリサービスでのグループ名およびグループメンバーの形式を確認する。
-
Active Directoryの場合にLDAPブラウザを使用する方法:以降の「(2) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(Active Directoryの場合にLDAPブラウザを使用する方法)」を参照してください。
-
ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法:以降の「(3) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法)」を参照してください。
-
ほかのディレクトリサービスの場合にWebブラウザを使用する方法:以降の「(4) ディレクトリサービスでグループを識別する方法の判別(Webブラウザを使用する方法)」を参照してください。
-
-
任意のテキストエディタでldap.propertiesファイルを開く。
ldap.propertiesファイルの詳細については,「10.7 ldap.properties設定ファイルリファレンス」を参照してください。
-
rolesCtxDNパラメータを,複数のグループで同じになっている,識別グループ名のエレメントに設定する。
-
ディレクトリサービスでグループにユーザー名が保存されるときの方法とユーザー名が相関するように,roleFilterパラメータを設定する。実際のユーザー名を次の式のどちらかで置き換える。
-
サインインのために入力されたユーザー名を意味する場合は{0}を使用します(例えば,john.doe)。
-
ディレクトリサービスによって返された認証済みユーザーの識別名を意味する場合は,{1}を使用します(例えば,uid=john.doe@example.com,ou=People, o=example.com)。
-
-
uidAttributeIDパラメータを,ユーザーIDを保存するグループ属性の名前に設定する。
-
「10.2 ディレクトリサービスへのアクセスを設定する」の「10.2.7 タスク7:(「外部モード」の設定だけ)NNMiユーザーグループ設定をテストする」の説明に従って設定をテストする。
(2) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(Active Directoryの場合にLDAPブラウザを使用する方法)
サードパーティのLDAPブラウザで,次の手順を実行します。
-
ディレクトリサーバードメインの中でユーザー情報を保存する領域にナビゲートする。
-
NNMiにアクセスする必要があるユーザーを識別し,そのユーザーに関連づけられているグループの識別名の形式を調べる。
-
ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。
-
NNMiユーザーグループに対応するグループを識別して,グループに関連づけられているユーザーの名前の形式を調べる。
(3) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法)
サードパーティのLDAPブラウザで,次の手順を実行します。
-
ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。
-
NNMiユーザーグループに対応するグループを識別して,それらのグループの識別名の形式を調べる。
-
グループに関連づけられているユーザーの名前の形式も調べる。
(4) ディレクトリサービスでグループを識別する方法の判別(Webブラウザを使用する方法)
-
サポートされるWebブラウザで,次のURLを入力する。
ldap://<directory_service_host>:<port>/<group_search_string>
-
<directory_service_host>は,ディレクトリサービスをホストするコンピュータの完全修飾名です。
-
<port>は,LDAP通信でディレクトリサービスが使用するポートです。
-
<group_search_string>は,ディレクトリサービスに保存されるグループ名の識別名です(例:cn=USERS-NNMi-Admin,ou=Groups,o=example.com)。
-
-
ディレクトリサービスのアクセステストの結果を評価する。
-
ディレクトリサービスに要求されたエントリが存在しないことを示すメッセージが表示された場合は,<group_search_string>の値を確認してから,手順1.の操作を繰り返してください。
-
該当するグループのリストが表示された場合,そのアクセス情報は正しいことになります。
-
-
グループのプロパティを調べ,そのグループに関連づけられているユーザーの名前の形式を判断する。