ネストされたグループの設定
ネストされたグループは、エンタープライズ管理サーバで特権アカウントのアクセスのためにロールのスコーピング ルールを設定するときに使用できます。
cminder12901jp
ネストされたグループは、エンタープライズ管理サーバで特権アカウントのアクセスのためにロールのスコーピング ルールを設定するときに使用できます。
ネストされたグループを使用するには、特定のタスクを実行する必要があります。
- ネストされたグループを検索できるように、CA Identity Manager 管理コンソールで、ac-dir.xmlファイルを更新します。以下の手順に従います。
- CA Identity Manager 管理コンソールで、[ディレクトリ]をクリックします。
- ac-dirディレクトリをクリックします。
- [ディレクトリのプロパティ]ウィンドウの下部で、[エクスポート]をクリックします。
- ac-dir.xmlファイルを編集用に開きます。
- GroupTypesの値を検索し、ALLで置き換えます。 デフォルト値は DYNAMIC です。例:<!-- ******************** Directory Groups Behavior ******************** --><!-- OPTIONAL - GroupTypes determines what kind of groups Identity Manager will use. --><!-- GroupTypes consists of the following attributes: --><!-- 1. type - indicates the type of groups Identity Manager uses (NONE, ALL, DYNAMIC, NESTED) --><!-- If type is ALL or NESTED, be sure to determine and configure the nested group membership --><!-- if the nested group members are to be stored in a separate static member list, the an additional --><!-- ImsManagedObjectAttribute for %NESTED_GROUP_MEMBERSHIP% will need to be provided --><!-- in the definition for the Group Managed Object. --><GroupTypes type="ALL"/>
- ac-dir.xmlファイルで以下のテキストを検索します。<Container objectclass="top,organizationalUnit" attribute="ou"/>また、末尾に value="" を追加します。例:<Container objectclass="top,organizationalUnit" attribute="ou" value=""/>
- ac-dir.xmlファイルを保存します。
- CA Identity Manager 管理コンソールの[ディレクトリ プロパティ(Directory Properties)]ページで、[更新]をクリックして XML ファイルをインポートします。
- CA Identity Manager 管理コンソールで、[ホーム]、[環境]、[ac-env]、[詳細設定]、[その他]に移動します。SkipLDAPDynamicGroupSearchおよびStoreADUsersInCacheが false に設定されていることを確認します。UseInMemoryEvaluationを設定する場合は、その値が 3 に設定されていることを確認します。
- wbemPath 属性にネストされたグループが設定されるように、スコーピング ルールで参照する各グループを更新します。 Enterprise Manager サーバは Active Directory 属性 wbemPath を参照し、Active Directory にネストされているグループを認識します。 ネストされたグループのネイティブ サポートは提供されていないため、ネストして Enterprise Manager サーバで使用する各グループには wbemPath があり、配下のグループをリストするために更新されている必要があります。Note:To see the wbemPath value in the Active Directory User and Computers, you must enable the Advanced Features in the View Menu.例: トップレベルのグループは、SAMUsers です。 そのメンバは、SAMAuthUser グループです。 アクセスが必要なユーザは、SAMAuthUser グループ内に存在します。 ネストされたグループの完全な DN を含む SAMUsers の wbemPath を更新する必要があります。
このリストには、各メンバ グループを 1 つずつ追加する必要があります。 次に、トップレベルのグループを指すようにPrivileged Identity Managerエンタープライズ コンソール内でロールを更新します。 このグループ内のグループおよびユーザには、スコープに基づいてアクセスが与えられます。ロールの例:PUPM 特権アクセス ロールのアクセス制御
SAMUsers グループのメンバであるユーザには、PUPM エンドポイント タイプの[アクセス制御]で特権アカウントへのアクセスがあります。 ユーザは SAMUsers の直接メンバではなく、SAMUsers 配下にネストされている SAMAuthUser グループのメンバです。