12.3.5 ユーザーグループ識別
ユーザーグループ識別は,「外部モード」の設定に適用されます。
NNMiは,NNMiユーザーのユーザーグループを次のように判断します。
-
NNMiコンソールで設定されているすべてのユーザーグループの外部名の値をディレクトリサービスグループの名前と比較する。
-
ユーザーグループが一致する場合,NNMiユーザーがディレクトリサービスのそのグループのメンバーであるかどうかを判断する。
NNMiコンソールで,短いテキスト文字列によって,NNMiコンソールアクセスを許可する,定義済みのNNMiユーザーグループの一意の名前が識別されます。LDAP設定ファイルのdefaultRoleおよびuserRoleFilterListパラメーターも,このテキスト文字列を必要とします。次の表では,このグループの一意の名前を表示名にマッピングしています。
NNMiコンソールのNNMiロール名 |
NNMi設定ファイルのユーザーグループの一意の名前およびテキスト文字列 |
---|---|
管理者 |
admin |
グローバルオペレーター |
globalops |
オペレータレベル2 |
level2 |
オペレータレベル1 |
level1 |
ゲスト |
guest |
Webサービスクライアント |
client |
NNMiグローバルオペレータユーザーグループ(globalops)では,すべてのトポロジオブジェクトだけにアクセス権が与えられます。ユーザーがNNMiコンソールにアクセスするには,ユーザーをほかのどれかのユーザーグループ(admin,level2,level1,またはguest)に割り当てる必要があります。
globalopsユーザーグループはデフォルトですべてのセキュリティグループにマッピングされるため,管理者はこのユーザーグループをセキュリティグループにマッピングしないようにする必要があります。
- 〈この項の構成〉
(1) ディレクトリサービスからのユーザーグループ取得の設定(詳細な方法)
「12.2 ディレクトリサービスへのアクセスを設定する」の「12.2.5 タスク5:(「外部モード」の設定だけ)ディレクトリサービスからのグループの取得を設定する」の説明にある簡単な方法では正常に機能しない場合は,次の手順を実行します。
-
必要なユーザー情報をディレクトリサービス管理者から取得する。
-
適切な手順を完了し,ディレクトリサービスでのグループ名およびグループメンバーの形式を確認する。
-
Active Directoryの場合にLDAPブラウザを使用する方法:以降の「(2) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(Active Directoryの場合にLDAPブラウザを使用する方法)」を参照してください。
-
ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法:以降の「(3) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法)」を参照してください。
-
ほかのディレクトリサービスの場合にWebブラウザを使用する方法:以降の「(4) ディレクトリサービスでグループを識別する方法の判別(Webブラウザを使用する方法)」を参照してください。
-
- LDAP設定ファイルを設定する。
- nms-auth-config.xmlファイルを任意のテキストエディタで開く。
- ディレクトリサービスでグループにユーザー名が保存されるときの方法とユーザー名が相関するように,roleエレメントを設定する。
実際のユーザー名を次の式のどちらかで置き換えます。
- サインインのために入力されたユーザー名を意味する場合は{0}を使用します(たとえば,john.doe)。
- ディレクトリサービスによって返された認証済みユーザーの識別名を意味する場合は,{1}を使用します(たとえば,uid=john.doe@example.com,ou=People,o=example.com)。
- ディレクトリサービスのドメインでグループレコードを保存する部分をroleContextDNエレメントに設定する。
形式は,ディレクトリサービスの属性名と値のカンマ区切りリストです。
例:- Active Directoryの場合:
CN=Users,DC=ldapserver,DC=mycompany,DC=com
- その他のLDAP技術の場合:
ou=Groups,o=example.com
- Active Directoryの場合:
-
「12.2 ディレクトリサービスへのアクセスを設定する」の説明に従って設定をテストする。
(2) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(Active Directoryの場合にLDAPブラウザを使用する方法)
サードパーティのLDAPブラウザで,次の手順を実行します。
ディレクトリサーバードメインの中でユーザー情報を保存する領域にナビゲートする。
NNMiにアクセスする必要があるユーザーを識別し,そのユーザーに関連づけられているグループの識別名の形式を調べる。
ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。
NNMiユーザーグループに対応するグループを識別して,グループに関連づけられているユーザーの名前の形式を調べる。
(3) ディレクトリサービスでグループおよびグループメンバーシップを識別する方法の判別(ほかのディレクトリサービスの場合にLDAPブラウザを使用する方法)
サードパーティのLDAPブラウザで,次の手順を実行します。
ディレクトリサーバードメインの中でグループ情報を保存する領域にナビゲートする。
NNMiユーザーグループに対応するグループを識別して,それらのグループの識別名の形式を調べる。
グループに関連づけられているユーザーの名前の形式も調べる。
(4) ディレクトリサービスでグループを識別する方法の判別(Webブラウザを使用する方法)
サポートされるWebブラウザで,次のURLを入力する。
ldap://<directory_service_host>:<port>/<group_search_string>
<directory_service_host>は,ディレクトリサービスをホストするコンピュータの完全修飾名です。
<port>は,LDAP通信でディレクトリサービスが使用するポートです。
<group_search_string>は,ディレクトリサービスに保存されるグループ名の識別名です(例:cn=USERS-NNMi-Admin,ou=Groups,o=example.com)。
ディレクトリサービスのアクセステストの結果を評価する。
ディレクトリサービスに要求されたエントリが存在しないことを示すメッセージが表示された場合は,<group_search_string>の値を確認してから,手順1.の操作を繰り返してください。
該当するグループのリストが表示された場合,そのアクセス情報は正しいことになります。
グループのプロパティを調べ,そのグループに関連づけられているユーザーの名前の形式を判断する。