8.2.1 連携ユーザーを使用する運用の場合の設定
連携ユーザーを使用する運用の場合,ディレクトリサーバ連携の設定のあとにJP1ユーザーの設定を実施します。
(1) 連携するディレクトリサーバを指定する
ディレクトリサーバと連携してユーザー認証するためには,認証サーバで共通定義情報を設定する必要があります。ディレクトリサーバ連携機能は初期設定で共通定義に設定されていないため,設定の変更が必要です。セカンダリー認証サーバを設置している場合は,プライマリー認証サーバおよびセカンダリー認証サーバの両方に設定してください。
10-10以降のJP1/Baseの場合,ディレクトリサーバと連携すると,次に示す拡張機能を使用できます。
-
指定したOU(組織単位)配下の階層の,すべてのOUをディレクトリサーバ連携の対象にできる。
![[図データ]](GRAPHICS/ZU061400.GIF)
-
JP1ユーザー名として使用する属性名にCN以外も指定できる。
JP1ユーザー名として使用する属性名をCN,sAMAccountName,およびUserPrincipalNameから指定できます。
これらの拡張機能を使用する場合は,ディレクトリサーバ連携の対象ユーザーをディレクトリサーバ内で検索するための情報検索用ユーザーの設定が必要です。詳細は,「(b) ディレクトリサーバ連携の設定手順(ディレクトリサーバ連携拡張機能を使用する場合)」を参照してください。
(a) ディレクトリサーバ連携の設定手順(ディレクトリサーバ連携拡張機能を使用しない場合)
ディレクトリサーバ管理者がディレクトリサーバを設定する際は,一つのコンテナオブジェクトにJP1ユーザーを登録してください。なお,ディレクトリサーバと連携するユーザーは,CN(共通名)属性の値をJP1ユーザー名と同じにする必要があります。
-
ディレクトリサーバ連携定義ファイル(jp1bs_ds_setup.conf)を編集する。
ディレクトリサーバ連携定義ファイルの詳細については,「16. 定義ファイル」の「ディレクトリサーバ連携定義ファイル(Windows限定)」を参照してください。
-
jbssetcnfコマンドを実行する。
設定内容が共通定義情報に反映されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。
-
jbschkdsコマンドを実行する。
ディレクトリサーバ連携の設定を確認します。jbschkdsコマンドの詳細については,「15. コマンド」の「jbschkds(Windows限定)」を参照してください。
(b) ディレクトリサーバ連携の設定手順(ディレクトリサーバ連携拡張機能を使用する場合)
ディレクトリサーバ管理者がディレクトリサーバを設定する際は,ディレクトリサーバ連携定義ファイルのBASE_DNパラメーターで指定したコンテナオブジェクト配下に,JP1ユーザーを登録してください。なお,ディレクトリサーバと連携するユーザーは,ディレクトリサーバ連携定義ファイルのATTR_NAMEパラメーターで指定した属性の値をJP1ユーザー名と同じにする必要があります。
-
ディレクトリサーバ連携定義ファイル(jp1bs_ds_setup.conf)を編集する。
ディレクトリサーバ連携拡張機能を使用しない場合との編集内容の相違点を次に示します。
- BASE_DN
-
JP1ユーザーが存在するコンテナオブジェクトの識別名を指定します。このパラメーターで指定したコンテナオブジェクト配下のJP1ユーザーと連携できるようになります。
- SEARCH_USER_DN
-
ディレクトリサーバにアクセスする情報検索用ユーザーの識別名を指定します。情報検索用ユーザーは,検索起点となるコンテナオブジェクトおよびその配下のコンテナオブジェクトに対して,参照権限があるディレクトリサーバのユーザーになります。
- ATTR_NAME
-
JP1ユーザー名として使用する属性名をCN,sAMAccountName,およびUserPrincipalNameから指定します。
ディレクトリサーバ連携定義ファイルの詳細については,「16. 定義ファイル」の「ディレクトリサーバ連携定義ファイル(Windows限定)」を参照してください。
-
jbssetcnfコマンドを実行する。
設定内容が共通定義情報に反映されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。
-
情報検索用ユーザーとパスワードを認証サーバホストに登録する。
情報検索用ユーザーとディレクトリサーバにログインするときに使用するパスワードを,認証サーバホストのJP1/Baseのパスワード管理情報に登録します。情報検索用ユーザーのパスワードのバイト数は,1〜64バイトです。登録には,jbsmkpassコマンド,jbspassmgrコマンド,またはjbsumappassコマンドを使用します。なお,登録するユーザー(情報検索用ユーザー)の指定形式は,「aduser/情報検索用ユーザー名」で指定します。例えば,SEARCH_USER_DNに"CN=Groupcsearcher,OU=GroupC,DC=domain,DC=local"を指定した場合,「aduser/Groupcsearcher」と指定します。
各コマンドの詳細については,「15. コマンド」の「jbsmkpass(Windows限定)」,「jbspassmgr(Windows限定)」,または「jbsumappass(Windows限定)」を参照してください。
-
jbschkdsコマンドを実行する。
ディレクトリサーバ連携の設定を確認します。jbschkdsコマンドの詳細については,「15. コマンド」の「jbschkds(Windows限定)」を参照してください。
- 重要
-
ディレクトリサーバ連携拡張機能を使用している場合,OSが管理するパスワード情報を変更したときは,JP1/Baseで設定した情報検索用ユーザーのパスワード管理情報も変更する必要があります。
なお,JP1/Baseのパスワード管理情報を変更したい場合は,[JP1/Base環境設定]ダイアログボックスの[ユーザーマッピング]タブで設定するか,またはjbsumappassコマンドやjbsrmumappassコマンドを使用して設定してください。
(c) 連携するディレクトリサーバを変更する
設定したディレクトリサーバが障害などで使用できなくなった場合,連携するディレクトリサーバを一時的に変更できます。一時的に変更するための情報を定義した定義ファイル作成してjbschgdsコマンドを実行してください。また,一時的な変更の解除も,jbschgdsコマンドを使用します。
jbschgdsコマンドの詳細については,「15. コマンド」の「jbschgds(Windows限定)」を参照してください。
(2) JP1ユーザー(連携ユーザー)を設定する
連携ユーザーを使用する場合のJP1ユーザー(連携ユーザー)の設定について説明します。JP1ユーザーの設定とは,JP1/IMやJP1/AJSなどを使用するJP1ユーザーの登録および削除をGUIまたはコマンドで実施することを示します。ここで登録したJP1ユーザーは,JP1/IM - ViewやJP1/AJS - Viewなどからのログイン時に使用します。特に断り書きがない場合,この項では「JP1ユーザー」とは「JP1ユーザー(連携ユーザー)」を示します。
JP1ユーザーは,プライマリー認証サーバおよびセカンダリー認証サーバの両方に設定してください。08-10以前のJP1/Baseは連携ユーザーを設定できません。JP1ユーザーは08-11以降のJP1/Baseで設定してください。
JP1ユーザーを設定する場合,「JP1/Base」サービスが起動している必要があります。「JP1/Base」サービスが起動していないとき,JP1ユーザーを設定する前に「JP1/Base」のサービスを起動してください。
JP1ユーザーの設定手順を,GUIを使う場合とコマンドを使う場合に分けて,次に示します。
(a) GUIを使ってJP1ユーザーを設定する
JP1ユーザーの設定は,[JP1/Base環境設定]ダイアログボックスの[認証サーバ]タブの[JP1ユーザー]で行います。
[JP1ユーザー]で設定する場合,[JP1ユーザー]を活性化する必要があります。[認証サーバの検索順序]の[認証サーバ名]で認証サーバを選び(反転表示させて),[JP1ユーザー]を活性化してください。なお,次に示す場合には,[JP1ユーザー]は活性化しないため,注意が必要です。
-
[認証サーバの検索順序]で認証サーバを変更し,[適用]ボタンが活性化していた場合
-
選んだ(反転表示させた)認証サーバの状態が「閉塞中」の場合
[適用]ボタンが活性化していた場合は,[適用]ボタンをクリックしてください。「閉塞中」だった場合は,「8.4 閉塞状態に関する設定(セカンダリー認証サーバを設置した場合)」を参照して,閉塞状態を解除してください。
[追加]ボタンをクリックすると,[JP1ユーザー]ダイアログボックスが表示されます。
|
|
![[図データ]](GRAPHICS/ZU061100.GIF)
このダイアログボックスでJP1ユーザーを設定します。登録するJP1ユーザー名を入力し,[ディレクトリサーバに連携する]をチェックしてください。パスワードの入力は必要ありません。なお,登録するJP1ユーザー名は標準ユーザーと重複しないようにしてください。JP1ユーザー名に使用できるのは,小文字だけです。大文字で入力した場合でも小文字のJP1ユーザー名として登録します。
JP1ユーザー名に指定できる文字の制限を次の表に示します。
|
対象 |
バイト数 |
使用禁止文字 |
|---|---|---|
|
JP1ユーザー名 |
1〜31バイト |
* / \ " ' ^ [ ] { } ( ) : ; | = , + ? < > およびスペース,タブ |
[OK]ボタンまたは[キャンセル]ボタンをクリックすると,[認証サーバ]タブに戻ります。
登録されたJP1ユーザーは[ユーザー名]に表示されます。連携ユーザーの場合,[連携]に「DS」と表示されます。
また,[ユーザー名]に表示されたJP1ユーザーを選択し,[削除]ボタンをクリックすると,選択したJP1ユーザーが削除されます。
(b) コマンドを使ってJP1ユーザーを設定する
コマンドを使って,JP1ユーザーの登録および削除ができます。また,登録したJP1ユーザーを一覧表示するコマンドも提供しています。各コマンドの詳細については,「15. コマンド」を参照してください。
- JP1ユーザーの登録
-
JP1ユーザーを認証サーバに登録する場合,次に示すコマンドを実行します。
jbsadduser -ds JP1ユーザー名
JP1ユーザー名には,小文字だけを使用してください。JP1ユーザー名に指定できる文字の制限については,表8-5を参照してください。
- JP1ユーザーのパスワードの変更
-
連携ユーザーのパスワードはJP1/Baseで変更できません。ディレクトリサーバで変更してください。
- JP1ユーザーの削除
-
登録したJP1ユーザーを削除する場合は,次に示すコマンドを実行します。
jbsrmuser JP1ユーザー名
- 登録したJP1ユーザーの一覧表示
-
登録したJP1ユーザー(標準ユーザーおよび連携ユーザー)の情報を確認する場合は,次に示すコマンドを実行します。
jbslistuser
登録した連携ユーザーだけの情報を確認する場合は,次に示すコマンドを実行します。
jbslistuser -ds
(3) ディレクトリサーバ連携拡張機能を使用する運用への切り替え方法
ディレクトリサーバ連携拡張機能を使用しない運用から使用する運用に変更する手順を説明します。
ここでは,次に示すようなディレクトリサーバ構造に基づいて説明します。なお,プライマリー認証サーバおよびセカンダリー認証サーバを設置している運用とします。
![[図データ]](GRAPHICS/ZU061300.GIF)
- 変更前のディレクトリサーバ連携の設定内容
-
変更前のディレクトリサーバ連携の設定内容の抜粋を次に示します。
[JP1_DEFAULT\JP1BASE\DIRSRV] "SERVER"="host-A.domain.local" "BASE_DN"="OU=eigyo,OU=osaka,DC=domain,DC=local" "ATTR_NAME"="CN"
- 変更内容
-
-
大阪支社の営業部だけとディレクトリサーバ連携していたのを,大阪支社の資材部とも連携する運用にする。
-
JP1ユーザー名として使用する属性名を,CNからsAMAccountNameに変更する。
-
手順を次に示します。
-
ディレクトリサーバ連携の設定内容を変更する。
ディレクトリサーバ連携定義ファイル(jp1bs_ds_setup.conf)の,次に示すパラメーターを追加・変更します。
表8‒6 ディレクトリサーバ連携定義ファイルの定義内容 パラメーター
変更前
変更後
SEARCH_USER_DN
設定なし
"CN=Osakaleader,OU=osaka,DC=domain,DC=local"
BASE_DN
"OU=eigyo,OU=osaka,DC=domain,DC=local"
"OU=osaka,DC=domain,DC=local"
ATTR_NAME
"CN"
"sAMAccountName"
ここでは,検索起点となるコンテナオブジェクト(OU=osaka)の参照権限を持つディレクトリサーバのユーザー名(Osakaleader)を情報検索用ユーザーとします。
なお,ディレクトリサーバ連携の設定変更は,プライマリー認証サーバホストおよびセカンダリー認証サーバホストで実施します。
-
jbssetcnfコマンドを実行する。
設定内容が共通定義情報に反映されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。
-
情報検索用ユーザーとパスワードを認証サーバホストに登録する。
情報検索用ユーザーとディレクトリサーバにログインするときに使用するパスワードを,認証サーバホストのJP1/Baseのパスワード管理情報に登録します。登録には,jbsmkpassコマンド,jbspassmgrコマンド,またはjbsumappassコマンドを使用します。
登録する情報検索用ユーザーの指定形式は,「aduser/情報検索用ユーザー名」です。ここでは,ユーザー名「aduser/Osakaleader」とOsakaleaderのパスワードを登録します。
各コマンドの詳細については,「15. コマンド」の「jbsmkpass(Windows限定)」,「jbspassmgr(Windows限定)」,または「jbsumappass(Windows限定)」を参照してください。
-
JP1ユーザーを追加する。
変更後は大阪支社の資材部もディレクトリサーバ連携の対象となるため,新たにディレクトリサーバと連携するJP1ユーザーを登録します。詳細は「8.2.1(2) JP1ユーザー(連携ユーザー)を設定する」を参照してください。
ここでは,JP1ユーザー名をディレクトリサーバと連携するユーザーのsAMAccountNameと同名で登録します。したがって,営業部でディレクトリサーバと連携していたユーザーでも,CNとsAMAccountNameが異なる場合は,JP1ユーザーの追加登録が必要になります。登録後,それまでディレクトリサーバと連携していたJP1ユーザーは不用となるため削除します。
-
プライマリー認証サーバの設定情報をセカンダリー認証サーバにコピーする。
プライマリー認証サーバの設定情報をセカンダリー認証サーバにコピーします。詳細は「8.1.4 プライマリー認証サーバの設定情報をコピーする」を参照してください。
-
ログインを確認する。
プライマリー認証サーバホストおよびセカンダリー認証サーバホストで,jbschkdsコマンドを実行してディレクトリサーバ連携の設定内容と,ディレクトリサーバと連携するユーザーがユーザー認証できるかどうかを確認します。また,プライマリー認証サーバおよびセカンダリー認証サーバにログインできるかどうかを確認します。
jbschkdsコマンドの詳細については,「15. コマンド」の「jbschkds(Windows限定)」を参照してください。