運用管理ポータルの「リポジトリ管理」を使用して，ユーザ情報リポジトリへユーザ情報を作成，検索，削除または編集するための手順を次に示します。

1. 運用管理ポータルにログインし，［運用管理ポータル］画面で「リポジトリ管理」をクリックします。
2. バインド情報を設定します。
   リポジトリ管理の［バインド情報の設定］画面で，LDAPディレクトリサーバへ接続するための情報を設定します。
   
3. レルムを作成します。
   レルム管理の［レルムの作成］画面で，LDAPディレクトリサーバにレルムを作成します。
   
4. ユーザエントリのスキーマを定義します。
   レルム管理の［ユーザエントリのスキーマ定義］画面で，レルムで管理するユーザエントリの属性と，ユーザのパスワードを保存するときの暗号化形式を設定します。
   
5. ユーザエントリを作成，検索，削除または編集します。
   レルム管理の次の画面で，レルムにユーザエントリを作成，検索，削除または編集します。ユーザエントリの削除および編集は，ユーザエントリを検索してから実施します。
   
   • ［ユーザエントリの作成］画面
   • ［ユーザエントリの検索］画面
   • ［ユーザエントリの削除］画面
   • ［ユーザエントリの編集］画面

バインド情報の設定，ユーザエントリのスキーマ定義，ユーザエントリの作成については，「(1)　Active Directoryを使用しない場合」の手順を参照してください。

SSLを使用して接続するための証明書の登録，およびActive Directory固有の環境設定の方法を次に示します。

●証明書の登録

Management ServerとActive Directory間の通信でSSLを使用するための証明書を登録します。証明書の登録方法を次に示します。

1. 作成したデジタル証明書を，Active Directoryがインストールされているサーバ（LDAPサーバ）に登録します。
   デジタル証明書の作成，登録方法については，Active Directoryのドキュメントを参照してください。
   
2. Management Serverに認証局（CA）の証明書を登録します。
   認証局の証明書のManagement Serverへの登録は，Developer's Kit for Javaに付属するkeytoolを使用して実行できます。keytoolについては，Java 2 SDK, Standard Editionのドキュメントを参照してください。keytoolの実行例を次に示します。なお，表記の都合上，複数行にわたっていますが，実際は一行で記述します。
   Windowsの場合
   

   keytool -import -alias cakey -file C:\temp\cacer.cer -trustcacerts -keystore 
   "＜Application Serverのインストールディレクトリ＞\jdk\jre\lib\security\cacerts"
   　

   UNIXの場合
   

   /opt/Cosminexus/jdk/bin/keytool -import -alias cakey -file /tmp/cacer.cer 
   -trustcacerts -keystore /opt/Cosminexus/jdk/jre/lib/security/cacerts
   　

なお，keytoolで証明書を登録する際にManagement Serverを起動していた場合は，Management Serverを再起動してください。

●バインド情報の設定

リポジトリ管理の［バインド情報の設定］画面で必要な設定を次に示します。

• 「プロトコル」に「ldaps」を指定します。
• 「ポート」に「636」を指定します。
• ［Active Directoryに接続する。］チェックボックスをチェックします。

●ユーザエントリのスキーマ定義

レルム管理の［ユーザエントリのスキーマ定義］画面で必要な設定を次に示します。

• デフォルトのオブジェクトクラス「inetorgperson」は削除して，オブジェクトクラスに「user」を追加します。
• ［必須属性の設定］の「ユーザID」に「cn」，「パスワード」に「unicodePwd」を指定します。
• ［任意属性の設定］で次の二つの属性を追加します。
  sAMAccountName
  userAccountControl
  

  注意

  • ［必須属性の設定］の「パスワード」に「userPassword」を指定した場合，SSLを使用しないでパスワードを変更できますが，Active Directoryで管理するユーザのパスワードは変更できません。
  • ［必須属性の設定］の「パスワード」に「unicodePwd」を指定した場合，「暗号化形式」の指定は無効になります。
  • Active Directoryでは，既存ユーザのオブジェクトクラスの変更はサポートしていません。［バインド情報の設定］画面で［Active Directoryに接続する。］チェックボックスにチェックして，［ユーザエントリのスキーマ定義］画面で新規にオブジェクトクラス「user」を追加したあとで，既存のユーザエントリを更新しても，ユーザエントリ作成時のオブジェクトクラスが適用されます。
  • 「リポジトリ管理」の画面では，「ユーザID」に「sAMAccountName」を指定できません。

●ユーザエントリの作成

レルム管理の［ユーザエントリの作成］画面で設定します。

一つのユーザエントリを作成するためには，次に示す二つの設定が必要です。

• 「属性名」で「sAMAccountName」を選択して，「属性値」にセキュリティアカウントマネージャ（SAM）のアカウント名を指定します。なお，通常，「属性値」にはユーザIDと同じ値を指定します。
• 「属性名」で「userAccountControl」を選択して，「属性値」にユーザアカウントのプロパティフラグを指定します。一般ユーザのユーザエントリを作成する場合は「512」を指定します。
  

  注意

  Active Directoryがインストールされているサーバのセキュリティポリシーで，パスワードの長さが1文字以上に設定されている場合，「userAccountControl」の「属性値」に「512」を指定すると，ユーザを作成できません。この場合，次のどちらかの対処をして，ユーザエントリを作成してください。

  • セキュリティポリシーのパスワードの長さを0文字以上に変更して，「userAccountControl」の「属性値」に「512」を指定する。
  • セキュリティポリシーのパスワードの長さの設定は変更しないで，「userAccountControl」の「属性値」に「544」を指定する。