Hitachi

JP1 Version 12 JP1/Base 運用ガイド


2.1.4 ディレクトリサーバと連携したユーザー認証とは

ユーザー認証では,JP1認証情報(JP1ユーザー認証情報およびJP1操作権限),またはJP1認証情報のうちJP1ユーザー認証情報だけをディレクトリサーバと連携して管理できます。この機能を,ディレクトリサーバ連携といいます。連携するディレクトリサーバはActive Directoryです。

ディレクトリサーバ連携する場合,ユーザーのパスワードはディレクトリサーバで管理(ディレクトリサーバのポリシーで管理)されるため,JP1/Baseのパスワードポリシー定義では,管理しません。

ディレクトリサーバ連携には,JP1認証情報をディレクトリサーバで管理する方法と,JP1認証情報のうちJP1ユーザー認証情報だけをディレクトリサーバで管理する方法があります。ディレクトリサーバ連携を使用しないユーザー認証と合わせて,次の表に管理対象を示します。

表2‒1 JP1認証情報の管理方法

ユーザー認証の方法

JP1認証情報

JP1ユーザー認証情報

JP1操作権限

ユーザー名

パスワード

ディレクトリサーバ連携を使用しない

認証サーバで管理

認証サーバで管理

認証サーバで管理

JP1認証情報をディレクトリサーバで管理する

ディレクトリサーバで管理

ディレクトリサーバで管理

ディレクトリサーバで管理

JP1ユーザー認証情報だけをディレクトリサーバで管理する

認証サーバとディレクトリサーバで管理

ディレクトリサーバで管理

認証サーバで管理

JP1ユーザーにはJP1認証情報の管理種別として,ユーザー認証の方法ごとにJP1ユーザー種別があります。ユーザー認証の方法ごとのJP1ユーザー種別を次の表に示します。

表2‒2 JP1ユーザー種別

ユーザー認証の方法

JP1ユーザー種別

ディレクトリサーバ連携を使用しない(認証サーバでユーザー認証する)

標準ユーザー

JP1認証情報をディレクトリサーバで管理する

DSユーザー

JP1ユーザー認証情報だけをディレクトリサーバで管理する

連携ユーザー

どのJP1ユーザーを標準ユーザー,DSユーザー,または連携ユーザーとするかは,認証サーバで設定します。なお,次に示す組み合わせでJP1ユーザー種別を併用することもできます。アカウント管理者は,アカウントがどこに定義されているかを意識してJP1ユーザー種別を設定します。

注※

ユーザー認証しようとするユーザー名が標準ユーザーとDSユーザーの両方に存在する場合は,標準ユーザーとしてユーザー認証をします。

DSユーザーの場合,次に示す運用ができます。

連携ユーザーの場合,次に示す運用ができます。

〈この項の構成〉

(1) ディレクトリサーバ連携の設定

初期設定では,ディレクトリサーバ連携は無効に設定されています。ディレクトリサーバと連携するためには,共通定義の設定を変更する必要があります。設定の詳細については,「8.2 ディレクトリサーバと連携してユーザー認証する場合の設定(Windows限定)」を参照してください。

設定を変更したあと,ディレクトリサーバとの接続状態および設定内容をコマンドで確認できます。また,ディレクトリサーバがトラブルのために使用できなくなった場合,コマンドを使って一時的に接続先を切り替えられます。

(2) ディレクトリサーバと連携したユーザー認証の例

JP1認証情報をディレクトリサーバで管理する場合のユーザー認証の例を次の図に示します。

図2‒6 JP1認証情報をディレクトリサーバで管理する場合のユーザー認証の例

[図データ]

JP1ユーザー認証情報だけをディレクトリサーバで管理する場合のユーザー認証の例を次の図に示します。

図2‒7 JP1ユーザー認証情報だけをディレクトリサーバで管理する場合ユーザー認証の例

[図データ]

(3) ディレクトリサーバと連携してユーザー認証をする場合の注意事項

JP1/Baseの認証サーバでの認証処理のほかに次の処理が発生するため,ユーザー認証に時間が掛かることがあります。

なお,認証サーバとディレクトリサーバ間の通信はLDAPプロトコルが使用されます。