CA SDM を LDAP と統合する方法

内容
casm173
内容
LDAP オプションの設定
LDAP ディレクトリ データにアクセスするように CA SDM を設定できます。
以下の手順に従います。
  1. Web インターフェースのオプション マネージャを使用して、LDAP オプションを手動でインストールします。
    基本的な LDAP 統合に必要なオプションは、以下の表の「説明」列に必須と記述されています。 オプションと記述されているオプションは、必須オプションをすべてインストールしている場合にのみ追加できる機能です。 これらのオプションをインストールするときに指定する値は、$NX_ROOT/NX.env ファイルに書き込まれます。
  2. CA SDM サービスを再起動します。
    変更内容が適用されます。
LDAP 環境設定ユーティリティを使用した LDAP サーバの管理
LDAP サーバ ユーティリティを使用して、複数の LDAP サーバを管理できます。 このユーティリティを使用して、以下のタスクを実行することができます。
  • LDAP サーバの新規追加
  • 使用しなくなった LDAP サーバの削除
  • LDAP サーバの詳細の表示
  • LDAP 仮想データベースの再起動
高可用性構成では、バックグラウンド サーバでユーティリティを実行します。 新しい LDAP サーバを追加した後に、すべてのスタンバイ サーバ上の CA SDM サービスを再起動します。
以下の手順に従います。
  1. (オプション)デフォルト LDAP サーバのドメイン名を指定するには、以下のコマンドを実行します。
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    デフォルト LDAP サーバのドメイン名は、以下の場合に設定します。
    • CA EEM サーバが複数の Microsoft Active Directory ドメインで設定されている
    • デフォルト LDAP サーバのユーザ設定が、CA SDM で設定されている他の LDAP サーバと同じである
    設定を完了した後に、デフォルトの LDAP ユーザは domain_name\userid 形式で CA SDM にログインする必要があります。
  2. Windows コマンドを開いて $NX_ROOT\bin に移動します。
  3. 以下のコマンドを実行します。
    pdm_perl pdm_ldap_config.pl
  4. 実行するタスクに応じて、適切なオプションを選択します。
オプション
デフォルト値
説明
ldap_domain
複数の LDAP サーバを設定する場合に必須です。 LDAP サーバのドメイン名を指定します。
default_ldap_tenant
マルチテナンシー インストールでは必須。 LDAP からインポートした連絡先のデフォルトのテナント割り当てを指定します。 [オプション値]フィールドを設定するときは、テナントの UUID を使用する必要があります。
テナントの UUID は、データベース クエリから取得できます。 たとえば、「SELECT * FROM ca_tenant」のようになります。
ldap_enable
はい
必須 CA SDM で LDAP 統合を有効にします。
ldap_host
必須 LDAP データベース サーバのホスト名または IP アドレスを指定します。
ldap_port
389
必須 LDAP サーバのポート番号を指定します。
ldap_dn
必須 LDAP サーバのログオン識別名を指定します。
例:
CN=Joe、CN=Users、DC=KLAND、DC=AD、DC=com
LDAPサーバが匿名バインドをサポートする場合、この値は空でもかまいません。
ldap_pwd
必須 LDAP サーバのログオン識別名のパスワードを指定します。
LDAPサーバが匿名バインドをサポートする場合、この値は空でもかまいません。
ldap_search_base
必須 LDAP スキーマ ツリーの検索の開始ポイントを指定します。
(UNIX)開始するコンテナを指定する必要があります。 以下に例を示します。
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows)コンテナを指定する必要はありません。 スキーマ ツリーの一番上から開始されます。 以下に例を示します。
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
LDAP ユーザ検索時に自動生成されるフィルタに適用するプレフィクスを指定します。
この変数は、ldap_user_object_class オプションに置き換えられています。 この変数はオプション マネージャでは使用できませんが、NX.env ファイル内で手動で設定できます。
ldap_filter_suffix
)
LDAP ユーザ検索時に自動生成されるフィルタに適用するサフィックスを指定します。
この変数は、ldap_user_object_class オプションに置き換えられています。 この変数はオプション マネージャでは使用できませんが、NX.env ファイル内で手動で設定できます。
ldap_user_object_class
person
必須 LDAP ユーザ検索時に自動生成されるフィルタに適用する LDAP objectClass 属性の値を指定します。
ldap_enable_group
はい
オプション。 LDAP グループ メンバシップに基づいた CA SDM アクセス タイプの割り当てを有効にします。
ldap_group_object_class
group
ldap_enable_group がインストールされている場合のみ必須。 グループ検索時に自動生成されるフィルタに適用するオブジェクト名を指定します。
ldap_group_filter_prefix
(&(objectClass=
group)
LDAP グループ検索時に自動生成されるフィルタに適用するプレフィクスを指定します。
この変数は、ldap_group_object_class オプションに置き換えられています。 この変数はオプション マネージャでは使用できませんが、NX.env ファイル内で手動で設定できます。
ldap_group_filter_suffix
)
LDAP グループ検索時に自動生成されるフィルタに適用するサフィックスを指定します。
この変数は、ldap_group_object_class オプションに置き換えられています。 この変数はオプション マネージャでは使用できませんが、NX.env ファイル内で手動で設定できます。
ldap_enable_auto
はい
オプション。 LDAP データからの連絡先レコードの自動生成を有効にします。
ldap_sync_on_null
はい
オプション。 対応する LDAP ユーザ属性に NULL 値が設定されている場合、既存の CA SDM の連絡先属性は NULL データで上書きされます。
ldap_service_type
Active Directory
オプション。 このオプションは、CA SDM オペレーティング環境が Windows であり、かつ、LDAP ディレクトリが Active Directory では
ない
(eTrust や Novell など)場合に使用します。
UNIX オペレーティング環境では、このオプションがインストール
されていない
場合にのみ、「Non AD」機能が使用されます。 このオプションがインストールされている場合、サービス タイプは Active Directory に設定されます。
ldap_enable_tls
いいえ
オプション。 LDAP 処理中にトランスポート レイヤ セキュリティ(TLS)を有効にするかどうかを指定します。
LDAP 統合の確認
必要な LDAP オプションをインストールした後、CA SDM ユーザはすべての連絡先属性フィールドに値を手動で入力する必要はありません。状況に応じて LDAP データをインポートできます。
LDAP レコードを検索およびインポートできることを確認する方法
  1. [Service Desk]タブで[ファイル]-[LDAP からの新規連絡先]を選択します。
    [LDAP ディレクトリの検索]ウィンドウが表示されます。
  2. フィルタ条件を指定し、[検索]をクリックします。 たとえば、文字 B から始まる姓を持つ LDAP ユーザ エントリのリストを取得するには、[姓]フィールドに b% を入力します。
    LDAP ディレクトリに何千件もエントリがあり、フィルタで検索対象を絞り込まない場合、リクエストは
    すべて
    の LDAP ユーザ レコードを取得しようとします。 この場合、リクエストがタイムアウトして、レコードが 1 件も返されない可能性があります。
    フィルタ条件に一致する検索結果が表示されます。
  3. エントリを選択します。
    インポートした LDAP 情報が入力された状態で、[連絡先の新規作成]ウィンドウが表示されます。
  4. [保存]をクリックします。
    連絡先レコードが作成されます。
LDAP データを使用して連絡先を更新できることを確認する方法
この手順を実行する前に、前の手順で使用したエントリの 1 つ以上の属性値を、任意の LDAP 編集ツールで変更できるかどうかを確認しておくことをお勧めします。 連絡先が最新の LDAP データで更新されることを確認できます。
  1. [Service Desk]タブで[検索]-[連絡先]を選択します。
    [連絡先の検索]ウィンドウが表示されます。
  2. フィルタ条件を指定して、対応する LDAP ユーザ エントリを持つ連絡先を検索します。 たとえば、前の手順で作成した連絡先を検索します。
    フィルタ条件に一致する検索結果が表示されます。
  3. LDAP データで更新する連絡先を選択します。
    CA SDM 連絡先情報が入力された状態で、[連絡先情報]ページが表示されます。
  4. [編集]をクリックします。
    [Contact Update]ページが表示されます。
  5. [LDAP のマージ]をクリックします。
    [LDAP エントリ リスト]ページには、選択された CA SDM 連絡先に一致するすべての LDAP ユーザ エントリのリストが表示されます。
    他のエントリの LDAP ディレクトリを検索するには、[フィルタの表示]をクリックし、フィルタ条件を指定して、[検索]をクリックします。
    LDAP ディレクトリに何千件もエントリがあり、フィルタで検索対象を絞り込まない場合、リクエストは
    すべて
    の LDAP ユーザ レコードを取得しようとします。 この場合、リクエストがタイムアウトして、レコードが 1 件も返されない可能性があります。
  6. 興味のある LDAP エントリをクリックします。
    [LDAP の詳細]ページには、選択したエントリの属性値が表示されます。 選択したエントリが更新する連絡先のものであることを確認し、[ウィンドウを閉じる]をクリックします。
  7. [LDAP エントリ リスト]ページで、更新する連絡先に最も一致したエントリを右クリックし、[連絡先へのマージ]を選択します。
    現在の LDAP 属性値が入力された状態で、[Contact Update]ウィンドウが再び表示されます。 連絡先を作成または最後に更新した後で LDAP データが変更されている場合、その変更は連絡先の属性フィールドに反映されます。
    ldap_sync_on_null オプションがインストールされている場合、LDAP エントリの属性フィールドが NULL 値で、対応する連絡先属性に値が指定されていると、連絡先データを保存したときに、連絡先レコードの値は NULL 値で上書きされます。
  8. [Contact Update]ページで[保存]をクリックします。
    対応する LDAP データで連絡先が更新されます。
連絡先の作成
HID_CreateaContact
連絡先は、アナリストや顧客など、システムを定期的に使用する人物です。 ビジネス ストラクチャおよびグループを作成した後、連絡先を作成して、それぞれのロケーションおよび組織にマップします。
連絡先は以下の方法で作成できます。
LDAP のデータを使用した連絡先の作成
Microsoft Windows Active Directory などの Lightweight Directory Access Protocol(LDAP)サーバにアクセスするようにインストール環境を構成しており、必要なオプションをインストールしている場合は、LDAP データベースのデータを使用して連絡先を作成および更新できます。 この方法で、ネットワーク ユーザ データと連絡先を簡単に同期できるようになります。
管理者は、LDAP データと連絡先の自動同期を設定できます。
以下の手順に従います。
  1. [Service Desk]タブのメニュー バーから、[ファイル]-[LDAP からの新規連絡先]を選択します。
    [LDAP ディレクトリの検索]ページが表示されます。
  2. (オプション)LDAP エントリ リストを関心のあるレコードに制限するには、以下の 1 つ以上のフィルタ フィールドに値を入力します。
    • LDAP ディレクトリに表示されるユーザの姓を指定します。 たとえば、文字 B から始まる姓を持つ LDAP ユーザ エントリのリストを取得するには、[姓]フィールドに b% を入力します。
    • LDAP ディレクトリに表示されるユーザの名を指定します。
    • Middle Name
      LDAP ディレクトリに表示されるユーザのミドル ネームを指定します。
    • ユーザ ID
      システムにログインするユーザ名を指定します。
  3. [検索]をクリックします。
    [LDAP エントリ リスト]ページに、フィルタ条件に一致したレコードが表示されます。
    連絡先を作成せずに、LDAP レコードに含まれる情報を表示するには、目的のレコードを右クリックして[表示]を選択します。 LDAP エントリ詳細ページが表示されます。
    LDAP エントリ詳細ページのすべてのフィールドは、フィールド名から意味がわかるようになっていますが、以下は説明が必要です。
    • ユーザ ID
      システムにログインするユーザが入力する ID を指定します。
    • 識別名
      完全修飾 LDAP ログイン名を指定します。 例: CN=Joe、CN=Users、DC=KLAND、DC=AD、DC=com。
  4. 連絡先を作成するには LDAP エントリをクリックします。
    LDAP 情報の一部が入力された状態で、[連絡先の新規作成]ページが表示されます。
  5. 必要に応じて情報をさらに入力します。
  6. [保存]をクリックします。
    連絡先レコードが保存され、[連絡先の詳細]ページが表示されます。 連絡先の構成用に以下のボタンが用意されています。
    • 環境の更新
      -- 連絡先または組織について[構成アイテム/アセットの検索]ウィンドウが開き、検索基準を指定して、使用するアセットを検索できます。 [検索]をクリックすると、[環境の更新]ウィンドウが開き、この連絡先または組織に対するアセットの追加と削除を実行できます。
      グループの更新
      -- [グループの検索]ウィンドウが開き、検索基準を指定して、この連絡先で使用するグループを検索できます。 [検索]をクリックすると、[グループの更新]ウィンドウが開き、この連絡先に対するグループの追加と削除を実行できます。
連絡先の自動作成
新規ユーザが CA SDM にログインする場合は常に、対応する LDAP ユーザ レコードから連絡先を自動的に作成するように CA SDM を設定できます。
この機能を有効にするには、必須のすべての LDAP オプションおよび ldap_enable_auto オプションをインストールします。
以下のように、連絡先レコードが自動的に作成されます。
  1. CA SDM にログインするユーザの連絡先レコードがなくても、ユーザのログイン名が LDAP レコードに存在すれば、LDAP データが自動的にインポートされ、連絡先レコードが作成されます。
  2. 自動的に作成された連絡先レコードは、初期設定のアクセス タイプのセキュリティ設定を継承します。
  3. 作成された連絡先には、アクセス タイプを明示的に割り当てることができます。また、アクセス タイプは、ユーザの LDAP グループのメンバシップに基づいて割り当てることができます。
このプロセスは完全にバックグラウンドで実行され、ユーザにとってはほかのログイン セッションと同じように見えます。
手動での連絡先の作成
連絡先情報用に LDAP などのアクティブなディレクトリを使用しない場合、CA SDM で連絡先を手動で作成できます。
マルチテナンシーを有効にしている場合は、ドロップダウン リストから適切なテナントを選択します。
以下の手順に従います。
  1. スコアボードのメニュー バーで[ファイル] - [新規連絡先]を選択します。
    [連絡先の新規作成]ウィンドウが開きます。
  2. 連絡先フィールドに入力します。
  3. [保存]をクリックします。
    連絡先情報が保存されます。
[連絡先]のフィールド
テナント
連絡先(マルチテナンシー インストール用)に関連付けられているテナントを指定します。
連絡先 ID
連絡先の一意の識別子を指定します。 デフォルトのユーザ認証が使用されている場合、ユーザのログイン時にこのフィールドの値がパスワードとして使用されます。
ユーザ ID
連絡先のユーザ名を示します。 連絡先はこの値を使用してシステムにログインします。
サービス タイプ
連絡先が受けることのできるサポートのレベルを指定します。
データ パーティション
この連絡先のデータ パーティションを指定します。 この値によって、この連絡先がアクセスできるレコードが決まります。
アクセス タイプ
アクセス タイプを指定します。 アクセス タイプによって、連絡先がアクセスできるシステム機能が決まります。
使用可能
連絡先がチケット割り当てに使用可能かどうかを示します。
セルフサービスの保存を確認
セルフサービス インターフェースからレコードが保存されるときに、連絡先が確認を受け取るかどうかを示します。
アナリストのテナント グループ
(アナリストの連絡先タイプのみ)アナリストが担当するテナント グループを指定します。
連絡先を設定するには、タブで使用可能な以下のコントロールを使用します。
通知
連絡先情報と連絡先に通知する方法を定義します。
    • この連絡先に対する各メッセージの緊急度レベルで使用する通知方法を、ドロップダウン リスト(電子メール、通知、ポケットベル電子メール、xMatters/電子メール、xMatters/通知、および xMatters/ポケットベル電子メール)から選択します。
      CA SDM では、一度に 1 つの通知方法のみをサポートします。 電子メールを使用している場合、通知を同時に使用することはできません。 これは、電子メール、通知、ポケットベル電子メール、xMatters/電子メール、xMatters/通知、および xMatters/ポケットベル電子メールなど、すべての標準の通知方法が対象となります。
      CA SDM 管理者は、xMatters と CA SDM の統合を無効にした場合に、[連絡先詳細]ページで通知方法を手動で更新する必要があります。 詳細については、「オプション マネージャ」の「xMatters」を参照してください。
    • 各通知の緊急度レベルに有効なワークシフトを選択します。
たとえば、通常のワークシフト(週 5 日、1 日に 8 時間)を標準レベル、24 時間のワークシフトを緊急レベル通知に割り当てます。
アドレス
連絡先の住所を示します。
組織情報
連絡先の部署または管理組織、部門、コスト センター、ベンダー情報を指定します。
環境
機器、ソフトウェア、およびサービスなどの連絡先の環境を指定します。
グループ
連絡先をグループ(共通の責任範囲を担う連絡先の集合体)に割り当てます。
ロール
1 つ以上の役割に連絡先を割り当てます。
サービス契約
連絡先に関連付けられているサービス契約を表示します。
特殊処理
特殊処理を必要とする連絡先をリストし、訪問者またはセキュリティ リスクのタイプなどの特殊処理タイプを検索したり、連絡先を特殊処理タイプに関連付けたりします。
イベント ログ
セルフサービスとナレッジのアクティビティなど、連絡先に関連付けられるイベントをリストします。
アクティビティ
連絡先のアクティビティ ログをリストします。
LDAP を使用する連絡先のマージ
既存の連絡先を現在の LDAP データと同期できます。
以下の手順に従います。
  1. スコアボードで[検索]-[連絡先]を選択します。
    [連絡先の検索]ページが表示されます。
  2. 必要に応じてフィルタ フィールドにデータを入力して(または、すべての連絡先のリストを表示するにはすべてのフィルタ フィールドを空欄にして)、[検索]をクリックします。
    [連絡先リスト]ページが表示されます。
  3. 編集する連絡先をクリックします。
    連絡先の[詳細]ページが表示されます。
  4. [編集]をクリックします。
    連絡先の[更新]ページが表示されます。
  5. [LDAP のマージ]をクリックします。
    [LDAP エントリ リスト]ページが表示されます。 編集中の連絡先に対応する LDAP レコードが存在する場合、そのレコードがこのページに表示されます。
  6. LDAP エントリをクリックします。
    [LDAP の詳細]ページが表示されます。
  7. [LDAP の詳細]ページに正しいユーザのデータが含まれていることを確認したら、[ウィンドウを閉じる]をクリックします。
  8. 更新する連絡先の[LDAP エントリ リスト]ページでエントリを右クリックして、[連絡先にマージ]を選択します。
  9. 連絡先の[更新]ページで[保存]をクリックします。
LDAP グループを使用したアクセス タイプの割り当て
HID_AssignAccessTypesLDAPGroup
LDAP (Lightweight Directory Access Protocol)を使用して、アクセス タイプの値を連絡先に自動的に割り当てます。
この機能を有効にするには、ldap_enable_group オプションと ldap_group_object_class オプションをインストールします。
以下の手順に従います。
  1. [管理]タブで、[セキュリティと役割の管理]-[アクセス タイプ]を選択します。
  2. LDAP グループに関連付けるアクセス タイプを選択します。 たとえば、[管理]を選択します。
    ldap_enable_group オプションがインストールされている場合、[Web 認証]タブに[LDAP アクセス グループ]フィールドが表示されます。
    LDAP グループが、選択したアクセス タイプとすでに関連付けられている場合、[LDAP グループの詳細]へのリンクが表示されます。 リンクをクリックすると、LDAP グループの読み取り専用の説明およびそのメンバーの一覧が表示されます。
  3. [アクセス タイプの詳細]ページの[編集]をクリックし、アクセス タイプと LDAP グループを関連付けます。
  4. [LDAP アクセス グループ]リンクをクリックします。
  5. (オプション)目的の LDAP グループの検索を制限する場合は、フィルタ条件を入力します。
  6. このアクセス タイプに関連付ける LDAP グループを選択します。
  7. [保存]をクリックします。
    選択した LDAP グループとアクセス タイプとの関連付けが完了します。
属性マッピング
CA SDM 連絡先レコードの属性値は、$NX_ROOT/bopcfg/majic/ldap.maj ファイルに指定した属性マッピング定義に基づいて、LDAP ユーザの属性値と同期されます。
ldap.maj からの以下の抜粋は、マッピングを示しています。 左の列の属性名(id)は CA SDM 連絡先属性名です。 真ん中の列(distinguishedName)は対応する LDAP 属性名です。
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
SREL(単一関連付け、または別のデータベース テーブル内の外部キー)が CA SDM に存在する場合、連絡先属性値は対応する LDAP 値と同期されます。 SREL が存在しない場合、LDAP 同期処理時に自動的には作成されません。
デフォルトでは、属性マッピングは Microsoft Active Directory LDAP スキーマに合わせて設定されます。 必要な場合は、mod ファイルを使用してマッピングを変更できます。
属性マッピングを変更する方法
デフォルトの属性マッピングは変更することが可能です。
デフォルトの属性マッピングを変更するには、以下の手順を実行します。
  1. $NX_ROOT/site/mods/majic に移動して、mod ファイルを開きます。
  2. 以下のとおりに、mod ファイルで MODIFY ステートメントを使用します。
    • MODIFY ステートメントは、必ずファイルの先頭に入力する必要があります。
    • MODIFY ステートメントに続いて、以下の例に示した構文を使用して、ldap.maj ファイルにない追加のフィールドを指定する必要があります。
    • 属性名にハイフン文字が含まれているフィールドを定義する場合は、その属性名を一重引用符で囲む必要があります。引用符で囲まないと、mod ファイルを作成するときに、構文エラーが発生して属性が失敗します。 たとえば、以下の属性名を一重引用符で囲む必要があります。
      c_nx_string1 'swsd-secret-question' STRING ;
  3. mod ファイルを保存して閉じます。
  4. CA SDM サービスを再起動します。
    構文や大文字と小文字が異なる場合、Web エンジンは開始しません。
    変更は適用されます。
例: MODIFY ステートメントの使用
以下は、2 つの既存のフィールドを変更して、新しいフィールドを追加する方法を示した例です。
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
CA SDM による LDAP データを使用した通信方法
Lightweight Directory Access Protocol
(LDAP)は、TCP/IP ネットワークを介してディレクトリ サービスのクエリや変更を行うためのネットワーク通信プロトコルです。 LDAP ディレクトリはツリー構造をしており、ネットワーク上でユーザ、グループ、コンピュータ、プリンタなどのエンティティを管理するためのエントリが含まれています。
CA SDM を設定して LDAP ディレクトリにアクセスできます。この設定により、いくつかの方法で LDAP データを使用できるようになります。
  • LDAP ユーザ レコードと連絡先を同期します。 同期は以下の方法で行うことができます。
    • ログイン時
      - ユーザが製品にログインしたときに、そのユーザの LDAP レコードが存在し、対応する連絡先レコードが存在しない場合、LDAP 情報に基づいて連絡先レコードが自動的に作成されます。
    • 新規連絡先
      --
      手動で連絡先レコードを作成する場合、LDAP レコードを選択し、新しい連絡先レコードの対応するフィールドにその属性値をマージできます。
    • バッチ更新
      - バッチ ジョブを実行して、対応する LDAP レコードの情報を使用した、連絡先レコードのインポート処理および更新処理を自動化できます。
      LDAP の同期は一方向です。 LDAP データは連絡先の作成および更新に使用できますが、製品は LDAP ディレクトリの更新をサポートしていません。
  • LDAP グループ メンバシップに基づいて CA SDM アクセス タイプを割り当てます。
  • CA SDM 認証を実行する別の方法を実装します。
ldap_virtb コンポーネントは、オペレーティング システムのタイプにかかわらず、CA SDM の設定に応じて、以下のサーバ上で LDAP 統合機能を提供します。
  • 標準: プライマリまたはセカンダリ サーバ。
  • 高可用性: バックグラウンドまたはアプリケーション サーバ
$NX_ROOT/bopcfg/majic/ldap.maj ファイルは、LDAP 属性と連絡先レコード属性の間のマッピングを指定します。
CA SDM で、LDAP データを検索、表示、およびインポートするには、LDAP レコードの[姓]フィールドにエントリがある必要があります。
CA SDM では
ページング検索
がサポートされており、LDAP ディレクトリの全レコードを検索できます。 また、ページング検索では、任意の数の LDAP レコードから新しい連絡先レコードをインポートしたり、既存の連絡先レコードと同期したりすることができます。 ただし、これらの機能には制限があります。SunOne Directory Server または Novell eDirectory の LDAP サーバはページング検索をサポートしていません。そのため、Sun Java System Directory Server または Novell eDirectory を使用している場合、これらの機能は使用できません。 この場合実行できるのは、検索、インポート、および NX_LDAP_MAX_FETCH で指定した数の LDAP レコードの同期のみになります。 ページング検索の詳細については、「NX.env ファイル」を参照してください。
LDAP グループに基づいたアクセス タイプの割り当て
LDAP グループのメンバシップに基づいて連絡先にアクセス タイプの値を自動的に割り当てるよう、CA SDM を設定できます。 アクセス タイプの自動割り当てが有効で、連絡先の作成に使用した LDAP ユーザ レコードが属する LDAP グループに CA SDM アクセス タイプのいずれかが関連付けられている場合、そのアクセス タイプが自動的に連絡先に割り当てられます。 それ以外の場合、連絡先は初期設定のアクセス タイプを継承します。
アクセス タイプの自動割り当てを有効にするには、ldap_enable_group オプションと ldap_group_object_class オプションをインストールする必要があります。
詳細については、「LDAP オプションの設定」を参照してください。
LDAP 認証
CA SDM にログインするユーザを認証するために、LDAP を使用できます。 LDAP 認証を使用できるのは、CA SDM に CA EEM 認証コンポーネントが統合されている場合です。このコンポーネントによって、ホスト オペレーティング システムが実行する初期設定の検証プロセスが置き換えられます。 外部 LDAP ディレクトリを使用するように CA EEM が設定され、アクセス タイプ レコードでユーザの検証タイプとして OS 認証が選択されている場合にのみ、LDAP 認証は適用されます。
CA EEM の機能がアクティブになると、ログイン リクエストは、CA EEM サーバでチェックされます。 ログイン リクエストが認められるのは、以下の状況が発生した場合のみです。
  • 指定したユーザ ID が CA SDM の連絡先レコードと一致する場合
  • ユーザ ID が CA EEM 内のユーザ プロファイルと一致する場合
  • ユーザ ID とパスワードの組み合わせが CA EEM によって正常に検証される場合
CA EEM を使用した認証と、認証モジュールを外部サーバに移動する方法の詳細については、「認証モジュールを外部サーバに移動する方法」を参照してください。 また、「LDAP グループを使用したアクセス タイプの割り当て」も参照してください。
トランスポート レイヤ セキュリティ
CA SDM を設定して、LDAP の処理時にトランスポート レイヤ セキュリティ(TLS)を使用できます。 安全な通信プロトコルである TLS は、Secure Socket Layer (SSL v3)セキュリティの後継です。 TLS を有効にするには、ldap_enable_tls オプションをインストールします。
この機能を有効にすると、CA SDM と LDAP サーバの間の通信がすべて暗号化されます。 この機能を
無効
にすると、データ通信(LDAP サーバへのアクセスに使用する管理用ログインおよびパスワードを含む)はすべてクリア テキストで送信されます。
TLS の設定の詳細については、お使いの LDAP サーバおよびオペレーティング システムのドキュメントを参照してください。 Web インターフェースのオプション マネージャを使用して、LDAP オプションを手動でインストールします。 詳細については、「LDAP オプションの設定」を参照してください。