TDVグループまたはIDへのユーザーの割り当て
TDV Managerのプリンシパルマッピングページでは、PAM認証をTDVで定義されたユーザーおよびグループにリンクできます。
ユーザーが検証されると、サブジェクトインスタンスに存在するセキュリティコンテキスト値またはその接続のチャネルプロパティを使用して、そのセッションの特定のグループまたはユーザーを認証できます。グループメンバーシップは、次のいずれかに基づいてユーザーセッションに割り当てることができます。
•TDV全体の静的グループリスト
•認証モジュールの承認に関連付けられているグループ
•セキュリティコンテキストに含まれるプリンシパルに関連付けられたグループ
ユーザーがダイナミックドメインのユーザーである場合、権限チェックはセッションのセキュリティコンテキストに基づいて決定を下します。
すべてのユーザーにPAM認証が必要な場合を除き、動的に定義されたユーザーには、パブリックドメインの情報にアクセスするための特権と権限のセットを制限することをお勧めします。
プリンシパルマッピングの使用を有効にするには
1. TDV Managerのプリンシパルマッピングページに移動し、そこから[セキュリティ] > [プリンシパルマッピング]を選択します。
2. プリンシパルからグループへのマッピングの左側のテキストに[無効]と表示されている場合は、[有効の変更]をクリックします。
認証されたユーザーのセキュリティコンテキストからの値を使用してそのユーザーをTDVグループに割り当てるために、マッピングを有効にします。
3. [マッピングの追加]を選択します。
4. マッピングの名前を選択します。
5. 割り当てタイプを選択して、ユーザーのセキュリティコンテキストから値をマップします。
割り当てタイプ |
説明 |
X.500の識別名 |
これは、ドメイン、組織、およびグループの粒度を[名前]フィールドに設定できるようにする階層文字列式です。より一般的なコンテナ内で定義されたユーザーは、データとリソースの特権のために指定されたグループにマップされます。 |
名前の一致(正確) |
グループ割り当てを行うには、セキュリティコンテキストの名前が指定された文字列と正確に一致している必要があります。 |
名前の一致(正規表現) |
ワイルドカードと特殊文字を使用して、同じドメインのメンバーがグループ権限を持つことができるようにすることができます。 java.util.regex.Patternの正規表現のJavaクラスパターンについて説明しているJavaドキュメントを参照してください。 |
Kerberosレルム |
ログインモジュールによってKerberosプリンシパルがセキュリティコンテキストに追加されている場合、プリンシパルレルムに基づいてグループマッピングを割り当てることができます。これにより、モジュールインスタンスに設定されたマッピングが追加されます。 |
6. 指定された名前に一致するユーザーに割り当てるドメインとグループの権限と権限を指定します。
デフォルトの動作であるTDVドメインを指定する場合は、ドメイン指定を省略できます。
