2.1.4 ディレクトリサーバと連携したユーザー認証とは
ユーザー認証では,JP1認証情報(JP1ユーザー認証情報およびJP1操作権限),またはJP1認証情報のうちJP1ユーザー認証情報だけをディレクトリサーバと連携して管理できます。この機能を,ディレクトリサーバ連携といいます。連携するディレクトリサーバはActive Directoryです。
ディレクトリサーバ連携する場合,ユーザーのパスワードはディレクトリサーバで管理(ディレクトリサーバのポリシーで管理)されるため,JP1/Baseのパスワードポリシー定義では,管理しません。
ディレクトリサーバ連携には,JP1認証情報をディレクトリサーバで管理する方法と,JP1認証情報のうちJP1ユーザー認証情報だけをディレクトリサーバで管理する方法があります。ディレクトリサーバ連携を使用しないユーザー認証と合わせて,次の表に管理対象を示します。
|
ユーザー認証の方法 |
JP1認証情報 |
||
|---|---|---|---|
|
JP1ユーザー認証情報 |
JP1操作権限 |
||
|
ユーザー名 |
パスワード |
||
|
ディレクトリサーバ連携を使用しない |
認証サーバで管理 |
認証サーバで管理 |
認証サーバで管理 |
|
JP1認証情報をディレクトリサーバで管理する |
ディレクトリサーバで管理 |
ディレクトリサーバで管理 |
ディレクトリサーバで管理 |
|
JP1ユーザー認証情報だけをディレクトリサーバで管理する |
認証サーバとディレクトリサーバで管理 |
ディレクトリサーバで管理 |
認証サーバで管理 |
JP1ユーザーにはJP1認証情報の管理種別として,ユーザー認証の方法ごとにJP1ユーザー種別があります。ユーザー認証の方法ごとのJP1ユーザー種別を次の表に示します。
|
ユーザー認証の方法 |
JP1ユーザー種別 |
|---|---|
|
ディレクトリサーバ連携を使用しない(認証サーバでユーザー認証する) |
|
|
JP1認証情報をディレクトリサーバで管理する |
|
|
JP1ユーザー認証情報だけをディレクトリサーバで管理する |
どのJP1ユーザーを標準ユーザー,DSユーザー,または連携ユーザーとするかは,認証サーバで設定します。なお,次に示す組み合わせでJP1ユーザー種別を併用することもできます。アカウント管理者は,アカウントがどこに定義されているかを意識してJP1ユーザー種別を設定します。
-
標準ユーザーとDSユーザー※
-
標準ユーザーと連携ユーザー
- 注※
-
ユーザー認証しようとするユーザー名が標準ユーザーとDSユーザーの両方に存在する場合は,標準ユーザーとしてユーザー認証をします。
DSユーザーの場合,次に示す運用ができます。
-
JP1認証情報をディレクトリサーバで管理できる。
JP1認証情報(JP1ユーザー認証情報およびJP1操作権限)をディレクトリサーバで管理します。ディレクトリサーバ(Active Directory)のアカウントをJP1ユーザーとして使用でき,JP1操作権限と一緒に管理できます。
-
Active DirectoryのセキュリティグループにJP1操作権限を設定できる。
Active Directoryではセキュリティグループを用いることで,ユーザーアカウントを管理しやすい単位にまとめることができます。セキュリティグループにJP1操作権限を設定することで,そのセキュリティグループに所属するアカウントにもJP1操作権限を付与することができ,JP1操作権限を容易に設定できます。なお,JP1操作権限が設定されているセキュリティグループをDSグループといいます。
また,セキュリティグループはさらに上位のセキュリティグループに所属する設定もできるため,上位のセキュリティグループに設定されたJP1操作権限も付与されます。
図2‒5 セキュリティグループへのJP1操作権限の設定 ![[図データ]](GRAPHICS/ZU014100.GIF)
連携ユーザーの場合,次に示す運用ができます。
-
JP1認証情報のうちJP1ユーザー認証情報だけをディレクトリサーバで管理できる。
JP1ユーザー認証情報をディレクトリサーバが管理します。JP1ユーザー名,JP1操作権限は認証サーバが管理します。
(1) ディレクトリサーバ連携の設定
初期設定では,ディレクトリサーバ連携は無効に設定されています。ディレクトリサーバと連携するためには,共通定義の設定を変更する必要があります。設定の詳細については,「8.2 ディレクトリサーバと連携してユーザー認証する場合の設定(Windows限定)」を参照してください。
設定を変更したあと,ディレクトリサーバとの接続状態および設定内容をコマンドで確認できます。また,ディレクトリサーバがトラブルのために使用できなくなった場合,コマンドを使って一時的に接続先を切り替えられます。
(2) ディレクトリサーバと連携したユーザー認証の例
JP1認証情報をディレクトリサーバで管理する場合のユーザー認証の例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZU010501.GIF)
JP1ユーザー認証情報だけをディレクトリサーバで管理する場合のユーザー認証の例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZU010500.GIF)
(3) ディレクトリサーバと連携してユーザー認証をする場合の注意事項
JP1/Baseの認証サーバでの認証処理のほかに次の処理が発生するため,ユーザー認証に時間が掛かることがあります。
-
認証サーバとディレクトリサーバ間の通信
-
ディレクトリサーバでのユーザー認証
なお,認証サーバとディレクトリサーバ間の通信はLDAPプロトコルが使用されます。