ODSEE からの設定の移行

計画プロセス中には、CA Directory と ODSEE の設定の違いが特定される必要があります。両方の製品ではまったく異なる設定モデルが使用されていることから、ODSEE 内の現在の設定を確認して構成アイテムを CA Directory 内の同等の構成アイテムにマップする必要があります。
cad141jp
計画プロセス中には、CA Directory と ODSEE の設定の違いが特定される必要があります。両方の製品ではまったく異なる設定モデルが使用されていることから、ODSEE 内の現在の設定を確認して構成アイテムを CA Directory 内の同等の構成アイテムにマップする必要があります。
相違点の主な 2 つの領域は、パスワード ポリシーおよびアクセス制御の設定です。
パスワード ポリシー
CA Directory および ODSEE はどちらもパスワード ポリシーをサポートします。LDAP 標準は、パスワード ポリシーの実装に対応していません。そのため、製品間のパスワード ポリシー設定では、アカウントの状態の制御に別のメカニズムと操作属性が使用されます。Dxmigrate というツールは、CA Directory でサポートされているパスワード ポリシーの設定に ODSEE パスワード ポリシー設定 LDIF を移行するのに役立ちます。
例:
$ dxmigrate -i password-policy.ldif -p password.dxc
パスワード ポリシーのマッピング
この表では、ODSEE 内のパスワード ポリシー構成アイテムおよび CA Directory 内の対応する構成アイテムを示します。
ODSEE
CA Directory
passwordStorageScheme
password-storage
pwdAttribute
常時
userPassword
pwdAllowUserChange
アクセス制御による制御
pwdSafeModify
この機能は、パスワード変更拡張操作(RFC 3062)で実現します。
pwdMinAge
password-min-age
pwdCheckQuality
CA Directory は、いくつものパスワード品質ルール セットをサポートします。詳細については、「リファレンス」セクションを参照してください。
pwdMinLength
password-min-length
pwdMustChange
アカウントのリセット後にユーザによるパスワード変更が必要があることを LDAP アプリケーションに通知するために、
password-mimic-netscape-response-controls
または Behera Draft パスワード ポリシー LDAP コントロールを使用するときには、この設定は true です。
pwdMaxAge 
password-age
pwdExpireWarning
password-age-warning-period
pwdGraceAuthNLimit
password-grace-logins
pwdKeepLastAuthTime
この ODSEE 属性の値は、
dxPwdLastLogin
操作属性を使用して CA Directory に格納されます。この設定が使用されるのは、設定時間内に使用されなかったアカウントを一時停止する
password-last-use
属性を使用するときです。アカウントの一時停止が必要でない場合は、この値を大きな数字に設定することで、前回の認証時間が保持されます。
pwdFailureCountInterval 
CA Directory では一定期間後に失敗の数をリセットすることはできません。
pwdIsLockoutPrioritized 
CA Directory はすべてのデータをリアルタイムでレプリケートしますので、これは必要ありません。
pwdMaxFailure
password-retries
pwdLockoutDuration
password-max-suspension
pwdInHistory
password-history
pwdLocked 
password-allow-locking
アクセス制御
ディレクトリ情報ツリーのさまざまなレベルのアクセス制御を設定するのに、ODSEE では「aci」属性が使用されます。CA Directory では設定ファイルが使用されます。したがって、ODSEE の aci 属性を CA Directory の形式に手動で移行する必要があります。アクセス制御の完全なセットについては、「コマンド リファレンス」を参照してください。
この表では、ODSEE 内のアクセス制御の構成アイテムおよび CA Directory 内の対応する構成アイテムを示します。
ODSEE
CA Directory (set access-controls = true; が必要)
target
アクセス制御の構成アイテムの「
subtree'
」と同等
targetattr
アクセス制御の構成アイテムの「
'attrs'
」と同等
Allow
アクセス制御の構成アイテムの「
'perms'
」と同等
userdn
アクセス制御の構成アイテムの「
'
user
」と同等
ACI 変換の例
ODSEE で以下の ACI 設定について考察します。
aci: (target="ldap:///ou=People,dc=example,dc=com")(targetattr="*")(version 3.0; acl "External changelog access"; allow (all) userdn="ldap:///cn=johndoe,ou=People,dc=example,dc=com";)
この設定は CA Directory で以下の設定に変換します。
set reg-user = { user = <dc com><dc example><ou People><cn johndoe> subtree = <dc com><dc example><ou People> perms = all };
ユーザ固有の変換
ODSEE では、エントリに対してロール固有設定を格納できます。設定ロール ベースの設定の詳細については、「リファレンス」を参照してください。
ODSEE
CA Directory
nsLookThroughLimit
CA Directory には必要ありません。
nsSizeLimit
ユーザのロールに 抽象 objectClass
dxRoleBasedConfig
を含めます。管理サイズ制限をオーバーライドするように
dxSizeLimit
を設定します。
nsTimeLimit
ユーザのロールに抽象 objectClass
dxRoleBasedConfig
を含めます。管理時間制限をオーバーライドするように
dxTimeLimit
を設定します。
nsIdleTimeout
CA Directory がユーザ レベルのタイムアウトをサポートしていません。