LDAPドメインの追加
各ドメインに一意の名前が付いている場合は、複数のLDAPドメインをTDV Serverに追加できます。 「動的」および「複合」という名前は、TDVシステムで予約されているドメイン名です。
LDAPドメインを追加するには
1. Managerを起動します。
2. [セキュリティ]タブから、[ドメイン管理]を選択します。
3. [ドメインの追加]をクリックします。
4. ドメイン名を入力します。ドメイン名はログインの一部になります。
ドメインの追加プロセスが完了すると、この名前が[ドメイン名]列にログインの一部として表示されます(小文字のみ)。
5. LDAPディレクトリタイプを指定します。
認証ソースとしてNovelle DirectoryまたはOracle Directory Serverを使用する場合は、LDAPディレクトリタイプとして[その他]を選択し、ldap.propertiesファイルに変更を加えます。
6. 次の形式を使用して、[サーバーURL]フィールドにLDAPサーバーへのパスを入力します。
ldap://<hostname:port>/<directory suffix>
ldaps://<hostname:port>/<directory suffix> (for secured LDAP)
例:
<port> = 389 and <directory suffix> is dc=composite,dc=com
<port> = 686 and <directory suffix> is dc=composite,dc=com
注:保護されたLDAP(LDAPS、デフォルトのポート686)を使用するには、TDV ServerにLDAPサーバーのキーストアを信頼できるストアに配置する必要があります。
Windows Active Directoryの例:
<directory suffix> is dc=composite,dc=com
7. 管理用LDAPユーザー名とパスワードを入力します。完全修飾名は明確であるため常に機能しますが、一般名を使用することもできます。
Windows Active Directoryの例:
cn=Administrator,cn=Users,dc=composite,dc=com
8. Simple、Digest、またはKerberos認証を選択します。
オプション |
説明 |
単純 |
クライアントは、LDAPサーバーに完全修飾ドメイン名とクリアテキストパスワードを送信します。この認証メカニズムは、LDAPサーバーでサポートされている場合、SSLなどの暗号化されたチャネル内で使用できます。 |
ダイジェスト |
セキュリティ認証メカニズムをDIGEST-MD5に設定します。 |
Kerberos |
暗号化されているかどうかに関係なく、ネットワーク経由でパスワードを送信せずに、Microsoft Active DirectoryなどのKerberos認証を使用するLDAPサービスに対する認証を有効にします。認証は、システムの基盤となるKerberos実装からキャッシュされたチケット許可チケットを取得し、それを使用して、使用中の他のサービスのチケット許可サービスからサービスチケットを取得することによって行われます。
必要な構成:
a. TDVJREのインストールは1.6.0_44以上である必要があります。
b. krb5.confまたはkrb5.iniファイルを更新して、Kerberos認証を使用するLDAPドメインが属するKerberosレルムの詳細と次の情報を含めます。
— Key Distribution Center(KDC)ホスト名、デフォルトドメイン名、KDC管理サーバーホスト名、KDCパスワードサーバーホスト名、サポートされている暗号化タイプ、プリンシパル名を含む新しいレルムタグユーザー名へのマッピング(必要な場合)。固有のKerberosレルム構成に基づいて、他のプロパティが必要になる場合があります。クロスレルム認証はサポートされていません。
— domain_realmsセクションの単一または複数のエントリで、ローカルドメイン名からKerberosレルムへのマッピングを指定します。
— 必要な場合にのみ、構成ファイルのlibdefaultsセクションを変更します。
このオプションを有効にすると、TDVの動作が場所に固有の方法で変更されます。 Kerberos認証を使用してLDAPドメインのユーザーとしてTDVにログインする場合、パスワードフィールドは編集できないことをユーザーに知らせることをお勧めします。 TDVユーザー名とパスワードの管理方法に関する追加情報については、 Kerberos構成ファイルとLDAPログイン資格情報を参照してください。 |
9. ローカル外部ドメインを外部ドメインサーバーと同期する場合は、[同期]フィールドで[自動]オプションを選択します。デフォルトでは、自動同期はオフになっています。
注:「自動」同期オプションをチェックしない場合、LDAPサーバーとのユーザーグループの同期はログイン時にのみ行われます。この操作を手動で実行するには、システムプロシージャsyncDomainGroupsを実行することを選択できます。この手順の詳細な使用法については、アプリケーションプログラミングインターフェイスガイドの章Webサービスの操作を参照してください。
10. [定期]フィールドを使用して、同期を実行する期間を指定します。デフォルトでは、これは30分に設定されています。
11. [OK]をクリックします。
12. TDVリソースにアクセスできるLDAPグループ(およびそれらのグループ内のユーザー)を指定します。