運用管理ポータルでは,ユーザ情報リポジトリとして使用するLDAPディレクトリサーバに対して,次の操作ができます。
- LDAPディレクトリサーバへの接続情報(バインド情報)の設定
- レルムの作成,および削除
- ユーザエントリのスキーマ定義
- ユーザエントリの作成,検索,削除,および編集
リポジトリ管理での操作は,LDAPディレクトリサーバを使用していることが前提です。そのため,ユーザ管理を構築するために必要なスキーマ定義を含むLDAPディレクトリサーバの設定は事前に行っておいてください。
なお,LDAPディレクトリサーバとしてActive Directoryを使用して,ユーザの登録,ユーザ情報の更新,およびリポジトリ情報のパスワードの変更をする場合の方法については,「(2) Active Directoryを使用する場合」を参照してください。
- <この項の構成>
- (1) Active Directoryを使用しない場合
- (2) Active Directoryを使用する場合
バインド情報の設定,ユーザエントリのスキーマ定義,ユーザエントリの作成については,「(1) Active Directoryを使用しない場合」の手順を参照してください。
SSLを使用して接続するための証明書の登録,およびActive Directory固有の環境設定の方法を次に示します。
●証明書の登録
Management ServerとActive Directory間の通信でSSLを使用するための証明書を登録します。証明書の登録方法を次に示します。
- 作成したデジタル証明書を,Active Directoryがインストールされているサーバ(LDAPサーバ)に登録します。
デジタル証明書の作成,登録方法については,Active Directoryのドキュメントを参照してください。
- Management Serverに認証局(CA)の証明書を登録します。
認証局の証明書のManagement Serverへの登録は,Developer's Kit for Javaに付属するkeytoolを使用して実行できます。keytoolについては,Java 2 SDK, Standard Editionのドキュメントを参照してください。keytoolの実行例を次に示します。なお,表記の都合上,複数行にわたっていますが,実際は一行で記述します。
Windowsの場合
keytool -import -alias cakey -file C:\temp\cacer.cer -trustcacerts -keystore
"<Application Serverのインストールディレクトリ>\jdk\jre\lib\security\cacerts"
UNIXの場合
/opt/Cosminexus/jdk/bin/keytool -import -alias cakey -file /tmp/cacer.cer
-trustcacerts -keystore /opt/Cosminexus/jdk/jre/lib/security/cacerts
なお,keytoolで証明書を登録する際にManagement Serverを起動していた場合は,Management Serverを再起動してください。
●バインド情報の設定
リポジトリ管理の[バインド情報の設定]画面で必要な設定を次に示します。
- 「プロトコル」に「ldaps」を指定します。
- 「ポート」に「636」を指定します。
- [Active Directoryに接続する。]チェックボックスをチェックします。
●ユーザエントリのスキーマ定義
レルム管理の[ユーザエントリのスキーマ定義]画面で必要な設定を次に示します。
- デフォルトのオブジェクトクラス「inetorgperson」は削除して,オブジェクトクラスに「user」を追加します。
- [必須属性の設定]の「ユーザID」に「cn」,「パスワード」に「unicodePwd」を指定します。
- [任意属性の設定]で次の二つの属性を追加します。
sAMAccountName
userAccountControl
- 注意
- [必須属性の設定]の「パスワード」に「userPassword」を指定した場合,SSLを使用しないでパスワードを変更できますが,Active Directoryで管理するユーザのパスワードは変更できません。
- [必須属性の設定]の「パスワード」に「unicodePwd」を指定した場合,「暗号化形式」の指定は無効になります。
- Active Directoryでは,既存ユーザのオブジェクトクラスの変更はサポートしていません。[バインド情報の設定]画面で[Active Directoryに接続する。]チェックボックスにチェックして,[ユーザエントリのスキーマ定義]画面で新規にオブジェクトクラス「user」を追加したあとで,既存のユーザエントリを更新しても,ユーザエントリ作成時のオブジェクトクラスが適用されます。
- 「リポジトリ管理」の画面では,「ユーザID」に「sAMAccountName」を指定できません。
●ユーザエントリの作成
レルム管理の[ユーザエントリの作成]画面で設定します。
一つのユーザエントリを作成するためには,次に示す二つの設定が必要です。
- 「属性名」で「sAMAccountName」を選択して,「属性値」にセキュリティアカウントマネージャ(SAM)のアカウント名を指定します。なお,通常,「属性値」にはユーザIDと同じ値を指定します。
- 「属性名」で「userAccountControl」を選択して,「属性値」にユーザアカウントのプロパティフラグを指定します。一般ユーザのユーザエントリを作成する場合は「512」を指定します。
- 注意
- Active Directoryがインストールされているサーバのセキュリティポリシーで,パスワードの長さが1文字以上に設定されている場合,「userAccountControl」の「属性値」に「512」を指定すると,ユーザを作成できません。この場合,次のどちらかの対処をして,ユーザエントリを作成してください。
- セキュリティポリシーのパスワードの長さを0文字以上に変更して,「userAccountControl」の「属性値」に「512」を指定する。
- セキュリティポリシーのパスワードの長さの設定は変更しないで,「userAccountControl」の「属性値」に「544」を指定する。
All Rights Reserved. Copyright (C) 2012, 2015, Hitachi, Ltd.