10.3.1 ユーザ情報リポジトリに対するユーザ情報の編集
運用管理ポータルでは,ユーザ情報リポジトリとして使用するLDAPディレクトリサーバに対して,次の操作ができます。
-
LDAPディレクトリサーバへの接続情報(バインド情報)の設定
-
レルムの作成,および削除
-
ユーザエントリのスキーマ定義
-
ユーザエントリの作成,検索,削除,および編集
リポジトリ管理での操作は,LDAPディレクトリサーバを使用していることが前提です。そのため,ユーザ管理を構築するために必要なスキーマ定義を含むLDAPディレクトリサーバの設定は事前に行っておいてください。
なお,LDAPディレクトリサーバとしてActive Directoryを使用して,ユーザの登録,ユーザ情報の更新,およびリポジトリ情報のパスワードの変更をする場合の方法については,「(2) Active Directoryを使用する場合」を参照してください。
(1) Active Directoryを使用しない場合
運用管理ポータルの「リポジトリ管理」を使用して,ユーザ情報リポジトリへユーザ情報を作成,検索,削除または編集するための手順を次に示します。
-
運用管理ポータルにログインし,[運用管理ポータル]画面で「リポジトリ管理」をクリックします。
-
バインド情報を設定します。
リポジトリ管理の[バインド情報の設定]画面で,LDAPディレクトリサーバへ接続するための情報を設定します。
-
レルムを作成します。
レルム管理の[レルムの作成]画面で,LDAPディレクトリサーバにレルムを作成します。
-
ユーザエントリのスキーマを定義します。
レルム管理の[ユーザエントリのスキーマ定義]画面で,レルムで管理するユーザエントリの属性と,ユーザのパスワードを保存するときの暗号化形式を設定します。
-
ユーザエントリを作成,検索,削除または編集します。
レルム管理の次の画面で,レルムにユーザエントリを作成,検索,削除または編集します。ユーザエントリの削除および編集は,ユーザエントリを検索してから実施します。
-
[ユーザエントリの作成]画面
-
[ユーザエントリの検索]画面
-
[ユーザエントリの削除]画面
-
[ユーザエントリの編集]画面
-
(2) Active Directoryを使用する場合
バインド情報の設定,ユーザエントリのスキーマ定義,ユーザエントリの作成については,「(1) Active Directoryを使用しない場合」の手順を参照してください。
SSLを使用して接続するための証明書の登録,およびActive Directory固有の環境設定の方法を次に示します。
(a) 証明書の登録
Management ServerとActive Directory間の通信でSSLを使用するための証明書を登録します。証明書の登録方法を次に示します。
-
作成したデジタル証明書を,Active Directoryがインストールされているサーバ(LDAPサーバ)に登録します。
デジタル証明書の作成,登録方法については,Active Directoryのドキュメントを参照してください。
-
Management Serverに認証局(CA)の証明書を登録します。
認証局の証明書のManagement Serverへの登録は,Developer's Kit for Javaに付属するkeytoolを使用して実行できます。keytoolについては,Java 2 SDK, Standard Editionのドキュメントを参照してください。keytoolの実行例を次に示します。なお,表記の都合上,複数行にわたっていますが,実際は一行で記述します。
Windowsの場合
keytool -import -alias cakey -file C:\temp\cacer.cer -trustcacerts -keystore "<Application Serverのインストールディレクトリ>\jdk\jre\lib\security\cacerts"
UNIXの場合
/opt/Cosminexus/jdk/bin/keytool -import -alias cakey -file /tmp/cacer.cer -trustcacerts -keystore /opt/Cosminexus/jdk/jre/lib/security/cacerts
なお,keytoolで証明書を登録する際にManagement Serverを起動していた場合は,Management Serverを再起動してください。
(b) バインド情報の設定
リポジトリ管理の[バインド情報の設定]画面で必要な設定を次に示します。
-
「プロトコル」に「ldaps」を指定します。
-
「ポート」に「636」を指定します。
-
[Active Directoryに接続する。]チェックボックスをチェックします。
(c) ユーザエントリのスキーマ定義
レルム管理の[ユーザエントリのスキーマ定義]画面で必要な設定を次に示します。
-
デフォルトのオブジェクトクラス「inetorgperson」は削除して,オブジェクトクラスに「user」を追加します。
-
[必須属性の設定]の「ユーザID」に「cn」,「パスワード」に「unicodePwd」を指定します。
-
[任意属性の設定]で次の二つの属性を追加します。
sAMAccountName
userAccountControl
- 注意事項
-
-
[必須属性の設定]の「パスワード」に「userPassword」を指定した場合,SSLを使用しないでパスワードを変更できますが,Active Directoryで管理するユーザのパスワードは変更できません。
-
[必須属性の設定]の「パスワード」に「unicodePwd」を指定した場合,「暗号化形式」の指定は無効になります。
-
Active Directoryでは,既存ユーザのオブジェクトクラスの変更はサポートしていません。[バインド情報の設定]画面で[Active Directoryに接続する。]チェックボックスにチェックして,[ユーザエントリのスキーマ定義]画面で新規にオブジェクトクラス「user」を追加したあとで,既存のユーザエントリを更新しても,ユーザエントリ作成時のオブジェクトクラスが適用されます。
-
「リポジトリ管理」の画面では,「ユーザID」に「sAMAccountName」を指定できません。
-
(d) ユーザエントリの作成
レルム管理の[ユーザエントリの作成]画面で設定します。
一つのユーザエントリを作成するためには,次に示す二つの設定が必要です。
-
「属性名」で「sAMAccountName」を選択して,「属性値」にセキュリティアカウントマネージャ(SAM)のアカウント名を指定します。なお,通常,「属性値」にはユーザIDと同じ値を指定します。
-
「属性名」で「userAccountControl」を選択して,「属性値」にユーザアカウントのプロパティフラグを指定します。一般ユーザのユーザエントリを作成する場合は「512」を指定します。
- 注意事項
-
Active Directoryがインストールされているサーバのセキュリティポリシーで,パスワードの長さが1文字以上に設定されている場合,「userAccountControl」の「属性値」に「512」を指定すると,ユーザを作成できません。この場合,次のどちらかの対処をして,ユーザエントリを作成してください。
-
セキュリティポリシーのパスワードの長さを0文字以上に変更して,「userAccountControl」の「属性値」に「512」を指定する。
-
セキュリティポリシーのパスワードの長さの設定は変更しないで,「userAccountControl」の「属性値」に「544」を指定する。
-