ODSEE からの設定の移行
計画プロセス中には、CA Directory と ODSEE の設定の違いが特定される必要があります。両方の製品ではまったく異なる設定モデルが使用されていることから、ODSEE 内の現在の設定を確認して構成アイテムを CA Directory 内の同等の構成アイテムにマップする必要があります。
cad141jp
計画プロセス中には、CA Directory と ODSEE の設定の違いが特定される必要があります。両方の製品ではまったく異なる設定モデルが使用されていることから、ODSEE 内の現在の設定を確認して構成アイテムを CA Directory 内の同等の構成アイテムにマップする必要があります。
相違点の主な 2 つの領域は、パスワード ポリシーおよびアクセス制御の設定です。
パスワード ポリシー
CA Directory および ODSEE はどちらもパスワード ポリシーをサポートします。LDAP 標準は、パスワード ポリシーの実装に対応していません。そのため、製品間のパスワード ポリシー設定では、アカウントの状態の制御に別のメカニズムと操作属性が使用されます。Dxmigrate というツールは、CA Directory でサポートされているパスワード ポリシーの設定に ODSEE パスワード ポリシー設定 LDIF を移行するのに役立ちます。
例:
$ dxmigrate -i password-policy.ldif -p password.dxc
パスワード ポリシーのマッピング
この表では、ODSEE 内のパスワード ポリシー構成アイテムおよび CA Directory 内の対応する構成アイテムを示します。
ODSEE | CA Directory |
|
|
| 常時
|
| アクセス制御による制御 |
| この機能は、パスワード変更拡張操作(RFC 3062)で実現します。 |
|
|
| CA Directory は、いくつものパスワード品質ルール セットをサポートします。詳細については、「リファレンス」セクションを参照してください。 |
|
|
| アカウントのリセット後にユーザによるパスワード変更が必要があることを LDAP アプリケーションに通知するために、 または Behera Draft パスワード ポリシー LDAP コントロールを使用するときには、この設定は true です。 |
|
|
|
|
|
|
| この ODSEE 属性の値は、 操作属性を使用して CA Directory に格納されます。この設定が使用されるのは、設定時間内に使用されなかったアカウントを一時停止する 属性を使用するときです。アカウントの一時停止が必要でない場合は、この値を大きな数字に設定することで、前回の認証時間が保持されます。 |
| CA Directory では一定期間後に失敗の数をリセットすることはできません。 |
| CA Directory はすべてのデータをリアルタイムでレプリケートしますので、これは必要ありません。 |
|
|
|
|
|
|
|
|
アクセス制御
ディレクトリ情報ツリーのさまざまなレベルのアクセス制御を設定するのに、ODSEE では「aci」属性が使用されます。CA Directory では設定ファイルが使用されます。したがって、ODSEE の aci 属性を CA Directory の形式に手動で移行する必要があります。アクセス制御の完全なセットについては、「コマンド リファレンス」を参照してください。
この表では、ODSEE 内のアクセス制御の構成アイテムおよび CA Directory 内の対応する構成アイテムを示します。
ODSEE
| CA Directory (set access-controls = true; が必要)
|
target
| アクセス制御の構成アイテムの「 subtree' 」と同等 |
targetattr
| アクセス制御の構成アイテムの「 'attrs' 」と同等 |
Allow
| アクセス制御の構成アイテムの「 'perms' 」と同等 |
userdn
| アクセス制御の構成アイテムの「 '
user 」と同等 |
ACI 変換の例
ODSEE で以下の ACI 設定について考察します。
aci: (target="ldap:///ou=People,dc=example,dc=com")(targetattr="*")(version 3.0; acl "External changelog access"; allow (all) userdn="ldap:///cn=johndoe,ou=People,dc=example,dc=com";)
この設定は CA Directory で以下の設定に変換します。
set reg-user = { user = <dc com><dc example><ou People><cn johndoe> subtree = <dc com><dc example><ou People> perms = all };
ユーザ固有の変換
ODSEE では、エントリに対してロール固有設定を格納できます。設定ロール ベースの設定の詳細については、「リファレンス」を参照してください。
ODSEE
| CA Directory
|
nsLookThroughLimit
| CA Directory には必要ありません。 |
nsSizeLimit
| ユーザのロールに 抽象 objectClass dxRoleBasedConfig を含めます。管理サイズ制限をオーバーライドするように dxSizeLimit を設定します。 |
nsTimeLimit
| ユーザのロールに抽象 objectClass dxRoleBasedConfig を含めます。管理時間制限をオーバーライドするように dxTimeLimit を設定します。 |
nsIdleTimeout
| CA Directory がユーザ レベルのタイムアウトをサポートしていません。 |