LDAP ユーザ グループのインポート
管理者として、LDAP ユーザ グループを作成する効率的な方法は、リモート LDAP サーバから LDAP ユーザ グループをインポートすることです。ユーザ グループをインポートするには、組み込み LDAP ブラウザを使用する必要があります。これはインポート処理中に起動されます。
capam33
管理者として、LDAP ユーザ グループを作成する効率的な方法は、リモート LDAP サーバから LDAP ユーザ グループをインポートすることです。ユーザ グループをインポートするには、組み込み LDAP ブラウザを使用する必要があります。これはインポート処理中に起動されます。
このトピックでは、以下のタスクについて説明します。
2
LDAP ブラウザの起動
LDAP グループを
Privileged Access Manager
にインポートするには、以下の手順に従います。- [設定]-[ライセンス]ページで、アプライアンスがライセンスされていることを確認します。LDAP ブラウザを起動するには、ライセンスが必要です。
- [構成]-[サード パーティ]-[LDAP]に移動し、LDAP サーバへのアクセスを設定します。LDAP グループをインポートできるようにするには、LDAP サーバをプロビジョニングする必要があります。
- [ユーザ]-[ユーザ グループ管理]を選択します。
- [LDAP グループのインポート]を選択します。LDAP ブラウザが起動します。LDAP ドメインを選択するように求められます。
Privileged Access Managerでは、強力な暗号化サポートにより、ネイティブ ブラウザからの SSH および LDAP 接続をサポートしていません。使用している JRE バージョンに基づいた無制限強度ポリシーの jar でローカル JCE を更新してください。 - LDAP グループをインポートするには、次の手順に移動します。
LDAP サーバで、
Privileged Access Manager
LDAP ブラウザによって使用される暗号スイートをサポートしていない場合、接続に失敗します。以下のエラー メッセージが表示されます: 「暗号が LDAP サーバと一致していない可能性があります。」プロビジョニング中に、ターゲット LDAP サーバでサポートされている暗号に、LDAP ブラウザでサポートされている暗号が含まれることを確認してください。LDAP グループのインポート
LDAP ブラウザで、左側のペインの
[検索]
タブに、LDAP ツリーのグラフィカル表現が表示されます。任意のオブジェクトを選択して、オブジェクト属性を表示します。 以下の手順に従います。
- LDAP ドメインを選択して[OK]を選択し、そのドメインに接続します。ブラウザが接続し、選択したドメインの下にすべてのレコードが表示されます。
- 左側のペインの LDAP ツリーを移動し、インポートするデバイス グループを見つけます。任意の順序または方向にツリーを移動します。
- デバイス グループをインポートするには、グループの横のチェックボックスを選択します。
- インポートするグループごとに、これらの手順を繰り返します。
- (オプション)インポートに選択されているデバイス グループを確認します。
- [PAM グループ]-[PAM アプライアンスに登録するために選択されたグループを管理します]を選択します。選択されたすべてのグループの識別名のリストが表示されます。
- 任意のグループ DN を選択して編集するか、またはステージング リストから削除します。
- [PAM グループ]-[選択されたグループを PAM アプライアンスに登録します]を選択します。ステージングされたグループのリストを表示するウィンドウが開きます。それらの進捗を確認することができ、アクションに関連するすべてのメッセージを表示できます。
- グループをインポートする準備ができたら、左下にある[グループの登録]を選択します。Privileged Access Managerは、グループが一覧表示されている順序でグループをインポートします。プロセスの間は、ブラウザにはフィードバックおよびキャンセル オプションが常に表示されます。開始後でも、グループの登録をキャンセルしたり、すべてのグループの登録をキャンセルしたりすることができます。インポートが終了すると、登録ウィンドウの各行アイテムに、成功の場合は緑色のチェック マーク、インポート失敗/キャンセルの場合は赤色のXが表示されます。
- (オプション)行アイテムを選択して、完全なリストのステータスや個別の各グループを確認します。個々のグループに変更を加えた場合や、何らかのエラーが発生した場合、下部にある[メッセージ]パネルに詳細が表示されます。
- [ユーザ]-[ユーザ グループ管理]に移動し、インポート済みユーザ グループがページに表示されることを確認します。ロールは、LDAP グループから継承されます。デフォルトのロールは、標準ユーザです。[ロール]パネルには、「ロールが選択されていません」と表示されますが、無視してください。インポート済みデバイス グループからレコードを削除することはできません。また、LDAP インポート済みフィールドは編集できません。
LDAP グループのリフレッシュ
LDAP グループをリフレッシュして、グループ内のレコードを更新できます。
以下の手順に従います。
- UI で、[ユーザ]-[ユーザ グループ管理]を選択します。
- ページの右側にある[LDAP グループのリフレッシュ]を選択します。LDAP ブラウザは[登録済みの LDAP グループをリフレッシュ]ウィンドウを起動します。
/content/ldap_usergroup_refresh.png/_jcr_content/renditions/original)
- リフレッシュする 1 つまたは複数のグループを選択し、[選択したグループのリフレッシュ]を選択します。
OU の変更後の Active Directory ユーザ グループのリフレッシュ
ユーザの組織単位(OU)の変更により、ユーザ DN が変更されます。変更された DN は、アクセス ポリシーに影響を与えることがあります。Active Directory グループが自動的にリフレッシュされるときに、
PAM
が OU の変更を処理します。リフレッシュ時に、アプライアンスはリモート Active Directory サーバを検索し、そのユーザ レコードを更新します。OU の変更にかかわらず、そのユーザのポリシーは保持されます。OU の変更をただちに反映させるには、
PAM
で Active Directory グループを手動でリフレッシュできます。Active Directory とのデータの同期を保持するには、現在そのユーザを含むすべてのグループおよびユーザの移動元のすべてのグループをリフレッシュします。ネストされたグループ
ある LDAP グループが親グループの
メンバ
属性に含まれている場合、親および子グループのユーザは親と共にインポートされます。たとえば、グループ CommunityA と CommunityB、および Person1 を考慮します。CommunityB は CommunityA のメンバであり、CommunityA にネストされています。Person1 は、グループ CommunityB の唯一のメンバです。CommunityA グループをインポートすると、CommunityA のすべてのメンバおよび CommunityB のメンバ Person1 が表示されます。LDAP ブラウザのメニューとコントロール
以下の表では、LDAP ブラウザのメニューおよびコントロール オプションについて説明します。
テキスト メニュー | 機能 |
[コピー]アイコン | 選択されたエントリの識別名をクリップボードにコピーします。 |
[グループ]アイコン | このコンテナのすべてのグループを表示します。 [検索]タブの下のツリーでまずオブジェクトを選択した後、このボタンをクリックし、[結果]タブに切り替えます。タブを切り替えたら、選択したオブジェクト内に含まれるすべてのグループ(objectClass: group)の完全に展開されたツリーを表示します。 |
ファイル | |
接続 | LDAP データベースにログインします。現在アクセス可能なドメインを選択できるポップアップ ウィンドウが表示されます。 |
切断 | 現在の LDAP ドメインからログアウトします。 |
PDF | 現在選択されているノードを印刷します。 |
終了 | ブラウザ ウィンドウを閉じます。ブラウザは、接続がアクティブの間実行を継続します。その間、LDAP ブラウザは[ユーザ]-[グループの管理]-[LDAP グループのインポート]から呼び出すことができます。 |
詳細については、 | メイン メニュー下のグラフ メニュー アイテムの表示オプション |
ボタン バーを表示 | アイコン ベース メニュー デフォルト: オン |
検索バーを表示 | アイコン ベース メニュー デフォルト: オン |
オプション | |
LDAP 接続タイムアウトの設定 | 接続の試行の前の最大時間(秒)はキャンセルされます。このタイムアウトは、 [構成] -[サードパーティ] で特定の LDAP ドメインに複数のサーバが指定されている場合に役立ちます。 デフォルト: 60 秒 |
結果セット ページ サイズの設定 | 改ページ調整前の LDAP ディレクトリ内のレコードの最大数がブラウザ ツリーに反映されます。 改ページ調整されたサブツリーの各ページのレコード数。 デフォルト: 1000 |
ブックマーク | ツリー内の各リーフでブックマークを作成することができます。後でメニューから直接ブックマークを選択できます。ブックマークは各ドメインで保存され、ブラウザがそのドメインに接続されているときのみ表示されます。 |
ブックマークの追加 | 現在選択しているリーフをブックマークするための編集ウィンドウを開きます。
|
ブックマークの編集 | ブックマーク選択ウィンドウを開きます。順番に選択し、ブックマーク編集ウィンドウを開きます(「ブックマークの追加」を参照)。 |
ブックマークの削除 | ブックマーク選択ウィンドウを開きます。順番に選択し、ブックマークの削除を確認し、ブックマークを削除します。 |
Search | |
検索ダイアログ | 詳細な検索条件ウィンドウを開きます。(クイック検索とは対照的) |
フィルタの削除 | 選択および削除するフィルタのリストが記載されたウィンドウを開きます。 |
返される属性のリスト | |
ページ化結果 | |
結果の次ページ | 結果の次ページを取得し、[検索]ツリー内にページ ラッパ([結果]内のページ)を表示します(緑色の場合。適用されない場合はグレー)。 |
ツール | |
アクションの停止 | 現在の LDAP リクエストを停止します。リクエストの停止は、ページ サイズが大きく、ブラウザが大きいデータベースを検索している場合に便利です。 |
Privileged Access Manager グループ | Privileged Access Manager に特有のメニュー アイテム |
アプライアンスで登録するように選択されたグループを管理 | Privileged Access Manager へのインポートのため現在選択されている(またはステージングされた)すべてのアイテムを表示します。 |
選択されたグループをアプライアンスで登録 | [アプライアンスで登録するように選択されたグループを管理]に表示されている、選択されたアイテムに対して入力操作を実行します。 |
改ページ調整について
改ページ調整は Active Directory および OpenLDAP で利用可能です。
LDAP アクセスのオーバヘッドを減らすため、LDAP ブラウザは改ページ調整機能を備えています。ブラウザの設定[
結果セット ページ サイズ
]では、任意のディレクトリのメンバ(ディレクトリ、グループ、オブジェクト、またはノード)の最大数を指定します。(この値は最初デフォルトで 1000 に設定されています。)すべてのディレクトリのメンバを表示させるのに必要なオーバヘッドが重すぎる場合、管理者はこの変数値を下げることができます。たとえば、任意のディレクトリに 5 つを超えるメンバの改ページ調整リーフを挿入する場合に、この値を 5 に設定します。LDAP ブラウザは、そのディレクトリが開かれたときに、実際のディレクトリ コンテンツを表示する前に、最初の改ページ調整リーフを挿入します。
検索およびクイック検索オプション
検索するディレクトリまたはオブジェクトの名前がわかっている場合、LDAP ブラウザで使用可能な 2 つの検索オプションのうちの 1 つを使用します。ツリーがブラウザでページ分けされて表示された場合でも、検索はツリー全体をスキャンできます。
必要なオブジェクトを探すため、ブラウザの右上にある
[クイック検索]
ボタンを使用することができます。以下の手順に従います。
- [検索]タブのツリーで、検索のトップに表示させたいノードを選択します。選択は[クイック検索]ラベルに反映されます。
- [Search From]ラベルの右側で、ドロップダウン リストから属性を選択し、テキスト ボックスに検索文字列を入力します。
- [クイック検索]を選択します。[結果]タブに、フィルタされたツリーが表示されます。
- ツリー内のオブジェクトを選択すると、右側に[エントリ属性]が表示されます。
LDAP ブラウザ検索オプション
オブジェクトの限定されたサブセットに検索結果を絞るには、メニュー アイテム
[検索]
-[検索ダイアログ]
を選択します。以下の表では、検索設定について説明します。
フィールド/ボタン | 定義 |
フィルタ名 | フィルタにブックマークの名前を割り当てます: このダイアログ ボックスの残りの部分を入力したら、右下の[保存]を選択します。フィルタが[検索]メニューから利用できるようになります。 |
検索の開始位置 | 検索するルート ノードを指定します。 |
別名オプション | |
検索中に別名を解決 | チェックすると、LDAP ブラウザは別名が示している実エントリを返します。チェックしない場合、LDAP ブラウザはすべての別名エントリをレギュラー エントリとして返します。 |
ベース オブジェクトの検索中に別名を解決 | |
検索レベル | |
検索レベルの選択 | ベース オブジェクトの検索 次のレベルの検索 サブツリー全体の検索 |
取得する情報 | [返される属性のリスト]に保存されたリストから選択できます。 |
フィルタ演算子 | |
等しくない(NOT) | 作成されたエントリ(全体)の否定 |
式 | |
属性 | すべての LDAP 属性のメニュー: accountExpires ~ x500uniqueIdentifier |
(演算子) | この表現の属性に適用するロジック |
(文字列) | この表現でテストされるテキスト |
その他 | 別のロジック テンプレートを追加して、他の定義済みのロジックと関連付けます |
概要 | 最新の定義されたロジックを削除 |
保存 | フィルタ名に割り当てられているラベルに、すべて入力済みのテンプレートを保存します |
ロード | 既存のフィルタをこのテンプレートにロードして編集またはコピーします。 |
詳細については、 | LDAP フィルタを表示します |
[テンプレート コマンド] | |
Search | このテンプレートに現在定義されている仕様で検索を実行します。 |
Cancel | 検索の実行、フィルタ名の保存をせずにダイアログを閉じます |
ユーザおよびユーザ グループ名のダブル バイト文字
Privileged Access Manager
はダブルバイト文字をサポートします。アプライアンスでは、データ ストアと、ユーザ名およびユーザ グループ名の UI 表示で、東アジアの文字を使用できます。LDAP ユーザ名がインポートされて表示されるときに、これらのダブルバイト文字は保持されます。ダブルバイト文字を含むユーザ レコードは LDAP グループにインポートすることができますが、個別のローカル ユーザ レコードにはインポートできません。