12.3.4 ユーザー識別
ユーザー識別は,「混合モード」および「外部モード」に適用されます。
ユーザー識別のための識別名は,1人のユーザーをディレクトリサービスで特定するための完全に修飾する方法です。NNMiは,ユーザー識別名をLDAP要求でディレクトリサービスに渡します。
LDAP設定ファイルにおけるユーザー識別名は,nms-auth-config.xmlファイル内の<base>エレメントと<baseContextDN>エレメントを連結したものです。ディレクトリサービスによって返されたパスワードが,NNMiコンソールにユーザーが入力したサインインパスワードと一致する場合,ユーザーサインインが続行されます。
「混合モード」の場合は,次の情報が適用されます。
-
NNMiコンソールアクセスの場合,NNMiは次の情報を検討し,できるだけ高い権限をユーザーに与えます。
−LDAP設定ファイルのdefaultRoleパラメーターの値
−NNMiコンソールで定義済みのNNMiユーザーグループでの,このユーザーのメンバーシップ
-
NNMiトポロジオブジェクトアクセスの場合,NNMiは,NNMiコンソールでこのユーザーが属するNNMiユーザーグループのセキュリティグループマッピングに従ってアクセス権を与えます。
「外部モード」の場合は,次の情報が適用されます。
-
NNMiコンソールアクセスの場合,NNMiは次の情報を基に,できるだけ高い権限をユーザーに与えます。
−LDAP設定ファイルのdefaultRoleパラメーターの値
−NNMiコンソールで定義済みのNNMiユーザーグループにマッピングされている([ディレクトリサービス名]フィールド)ディレクトリサービスグループでの,このユーザーのメンバーシップ
-
NNMiトポロジオブジェクトアクセスの場合,NNMiは,このユーザーがディレクトリサービス(NNMiコンソールでNNMiユーザーがマッピングされている)で属するグループのセキュリティグループマッピングに従ってアクセス権を与えます。
- Active Directoryでのユーザー識別例
-
nms-auth-config.xmlファイルの内容が<base>CN={0}</base><baseContextDN>OU=Users,OU=Accounts,DC=example,DC=com</baseContextDN>で,ユーザーがNNMiにjohn.doeとしてサインインする場合,ディレクトリサービスに渡される文字列は次のとおりです。
CN=john.doe,OU=Users,OU=Accounts,DC=example,DC=com
- そのほかのディレクトリサービスでのユーザー識別例
-
nms-auth-config.xmlファイルの内容が<base>uid={0}@example.com</base><baseContextDN>ou=People,o=example.com</baseContextDN>で,ユーザーがNNMiにjohn.doeとしてサインインする場合,ディレクトリサービスに渡される文字列は次のとおりです。
uid=john.doe@example.com,ou=People,o=example.com