LDAP ドメインの追加

各ドメインに一意の名前が付いている場合は、複数の LDAP ドメインを TDV Server に追加できます。「動的」および「コンポジット」という名前は、TDV システムで予約されているドメイン名です。

LDAP ドメインを追加するには

1.

マネージャーを起動します。

2.

[セキュリティ] タブから、[ドメイン管理] を選択します。

3.

[ドメインを追加] をクリックします。

4.

ドメイン名を入力します。ドメイン名はログインの一部になります。

ドメインの追加プロセスが完了すると、この名前が [ドメイン名] カラムにログインの一部として表示されます (小文字のみ)。

5.

LDAP ディレクトリ タイプを指定します。

Novell eDirectory または Oracle Directory Server を認証ソースとして使用する場合は、LDAP ディレクトリ タイプとして [その他] を選択し、ldap.properties ファイルを変更します。

6.

次の形式を使用して、[サーバー URL] フィールドに LDAP サーバーへのパスを入力します。

ldap://<hostname:port>/<directory suffix>

ldaps://<hostname:port>/<directory suffix> (for secured LDAP) 

例：

<port> = 389 and <directory suffix> is dc=composite,dc=com

<port> = 686 and <directory suffix> is dc=composite,dc=com

注：保護された LDAP (LDAPS、デフォルトのポート 686) を使用するには、TDV Server に LDAP サーバーのキーストアを信頼できるストアに配置する必要があります。

Windows Active Directory の例：

<directory suffix> is dc=composite,dc=com

7.

管理 LDAP ユーザー名とパスワードを入力します。完全修飾名は明確であるため、常に機能しますが、共通名を使用することもできます。

Windows Active Directory の例：

cn=Administrator,cn=Users,dc=composite,dc=com

8.

Simple、Digest、または Kerberos 認証を選択します。

オプション	説明
単純	クライアントは、LDAP サーバーに完全修飾ドメイン名とクリアー テキスト パスワードを送信します。この認証メカニズムは、LDAP サーバーでサポートされている場合、SSL などの暗号化されたチャネル内で使用できます。
ダイジェスト	セキュリティ認証メカニズムを DIGEST-MD5 に設定します。
Kerberos	暗号化されているかどうかに関係なく、ネットワーク経由でパスワードを送信せずに、Microsoft Active Directory などの Kerberos 認証を使用する LDAP サービスに対する認証を有効にします。認証は、システムの基盤となる Kerberos 実装からキャッシュされたチケット許可チケットを取得し、それを使用して、使用中の他のサービスのチケット許可サービスからサービスチケットを取得することによって行われます。 必要な構成： TDV JRE のインストールは、1.6.0_44 以降である必要があります。 krb5.conf または krb5.ini ファイルを更新して、Kerberos 認証を使用する LDAP ドメインが属する Kerberos レルムの詳細を次の情報とともに含めます。 — キー配布センター (KDC) ホスト名、デフォルト ドメイン名、KDC 管理サーバー ホスト名、KDC パスワード サーバー ホスト名、サポートされている暗号化タイプ、プリンシパル名からユーザー名へのマッピング (必要な場合) を含む新しいレルム タグ。独自の Kerberos レルム構成に基づいて、他のプロパティが必要になる場合があります。クロスレルム認証はサポートされていません。 — domain_realms セクションの 1 つまたは複数のエントリーで、ローカル ドメイン名から Kerberos 領域へのマッピングを指定します。 — 必要な場合にのみ、構成ファイルの libdefaults セクションを変更してください。 このオプションを有効にすると、TDV の動作がその場所に固有の方法で変更されます。Kerberos 認証を使用して LDAP ドメインのユーザーとして TDV にログインする場合、パスワード フィールドは編集できないことをユーザーに知らせることをお勧めします。TDV ユーザー名とパスワードの管理方法に関する追加情報については、「Kerberos 構成ファイルと LDAP ログイン資格情報について」を参照してください。

9.

ローカル外部ドメインを外部ドメイン サーバーと同期する場合は、[同期] フィールドで [自動] オプションを選択します。デフォルトでは、自動同期はオフになっています。

注：「自動」同期オプションをチェックしない場合、LDAP サーバーとのユーザー グループの同期はログイン時にのみ行われます。この操作を手動で実行するには、システム プロシージャ syncDomainGroups を実行することを選択できます。このプロシージャの詳細な使用法については、『アプリケーション プログラミング インターフェイス ガイド』の「Web サービスのオペレーション」の章を参照してください。

10.

[定期] フィールドを使用して、同期を実行する期間を指定します。デフォルトでは、これは 30 分に設定されています。

11.

[OK] をクリックします。

12.

TDV リソースにアクセスできる LDAP グループ (およびそれらのグループ内のユーザー) を指定します。