Novell eDirectory LDAP ディレクトリ接続を設定します。
Novell eDirectory LDAP ディレクトリ接続を設定するには、以下の手順に従います。
casso11jp
Novell eDirectory LDAP ディレクトリ接続を設定するには、以下の手順に従います。
NetWare の設定
この設定により、ポリシー サーバは Novell eDirectory にログインしてディレクトリの内容を確認し、ディレクトリ属性を取得できます。一部の拡張機能では、ポリシー サーバの書き込みアクセスを可能にするために Novell eDirectory を設定することが必要になる場合があります。
LDAP が Novell eDirectory のインストールに含まれている場合は、Novell eDirectory のサーバに「LDAP Server」という名前を付け、LDAP グループに「LDAP Group」という名前を付けます。LDAP Server は LDAP Group のメンバーです。
以下の手順に従います。
- Novell eDirectory に LDAP サーバを作成します (この例では、LDAP Server という名前です)。
- Novell eDirectory に LDAP グループを作成します (この例では、LDAP Group という名前です)。
- LDAP Server に LDAP Group を割り当てます。
- NetWare Admin ツールで LDAP Server をクリックします。注:Novell eDirectory の変更に、NW Admin ツールではなく Netware ConsoleOne ツールを使用している場合は、ConsoleOne で使用可能なツールを使用して同じタスクを完了する必要があります。両方のツールのインタフェースは似ています。詳細については、Novell のマニュアルを参照してください。
- ポップアップ メニューから、[Details]を選択します。
- [LDAP Group]フィールドに、「LDAP Group」と入力します。
- [OK]をクリックします。
Novell eDirectory における匿名 LDAP アクセスの設定
ポリシー サーバが Novell eDirectory と通信するためには、そのディレクトリへのアクセスに必要な管理権限を持つアカウントを作成します。これには、LDAP サーバ上に匿名ユーザを生成して、このユーザをプロキシにする方法が最も簡単です。ユーザには、すべての機能を実行するのに十分な権限が割り当てられます。
以下では、匿名ユーザに管理権限を割り当てる方法を説明しますが、これよりもユーザに割り当てる権限を制限することも可能です。LDAP ディレクトリに対するすべての匿名アクセスには、
Single Sign-On
に付与するものと同じ権限が付与されます。以下の手順に従います。
- LDAP_Anonymous というユーザを作成します。以下の手順に例を示します。
- NetWare Admin ツールのメニューバーで、[Object]、[Create]、[User]の順に選択します。
- LDAP_Anonymous という名前を追加します。
- パスワードは割り当てません。
- 右側のフレームで[Security Equal To]を選択して、管理者ユーザ(Admin.transpolar など)を追加します。
- [OK]をクリックします。
- 以下のとおり、プロキシ アカウントを設定します。以下の手順に例を示します。
- NetWare Admin ツールで[LDAP Group]を選択します。
- ポップアップ メニューから、[Details]を選択します。
- [Continue]をクリックします。
- [Proxy Username]フィールドに「LDAP_Anonymous」と入力します。
- 右側のフレームで[Access Control]を選択して、[Add]をクリックします。
- [LDAP ACL Name]フィールドに「LDAP_Anonymous」と入力します。
- [LDAP Distinguished Name]チェック ボックスをオンにして、「cn=LDAP_Anonymous」と入力します。
- [All Attributes and Object Rights]チェックボックスをオンにします。
- [OK]をクリックします。
- 右側のフレームで[Access Control]を選択して、[Add]をクリックします。
- [LDAP ACL Name]というラベルのボックスに、「Everyone」と入力します。
- [Everything]チェックボックスをオンにします。
- [All Attributes and Object Rights]チェックボックスをオンにします。
- [OK]をクリックします。
- [OK]をクリックします。ポリシー サーバで Novell eDirectory を使用するための設定を継続する方法については、<ui> での「Novell eDirectory LDAP ディレクトリ接続の設定」を参照してください。
CA Single Sign-on
管理者の特別なアクセス権以下に、ポリシー サーバのみへの特別なアクセスを許可する手順について説明します。環境によっては、こちらの設定の方が適切な場合があります。
- Single Sign-On管理者を表す Novell eDirectory ユーザを作成します。たとえば、siteminder_admin などです。
- このユーザに、Single Sign-On管理者によって生成されたパスワードを付与します。このパスワードを管理 UI に入力します。
CA Single Sign-on
管理用の Novell eDirectory ユーザ アカウントの作成NW Admin ツールを使用して、ポリシー管理者のユーザ アカウントを作成できます。
以下の手順に従います。
- NW Admin ツールで[LDAP Group]を右クリックします。
- ポップアップ メニューから、[Details]を選択します。
- 右側のパネルで[Access Control]をクリックします。
- ACL を追加します。
- ACL の名前を入力します。
- [Access By List]画面で[Add]をクリックします。
- [Access By List]画面で、[LDAP Distinguished Name]をクリックします。
- 「cn=siteminder_admin」と入力します。
デフォルトでは、アクセス レベルは読み取りに設定されます。基本機能を使用するには、このアクセス レベルで十分です。アクティブな API や一部の高度な機能(パスワード サービス、ユーザ無効化、登録サービスなど)を使用するユーザには、書き込み権限が必要になることもあります。
Novell eDirectory の LDAP ディレクトリ接続の設定
ポリシー サーバが Novell eDirectory ユーザ ストアと通信できるようにするユーザ ディレクトリ接続を設定できます。
以下の手順に従います。
- [インフラストラクチャ]-[ディレクトリ]をクリックします。
- [ユーザ ディレクトリ]を選択します。
- [ユーザ ディレクトリの作成]をクリックします。
- [一般]および[ディレクトリのセットアップ]の領域に必要な接続情報を入力します。
- [LDAP 設定]領域の[LDAP 検索]および[LDAP ユーザ DN ルックアップ設定]を設定します。注:ユーザ ディレクトリに複数の組織が含まれる場合、[ルート]フィールドは空白のままにすることができます。これにより、ポリシー サーバは複数の組織のユーザを検索できます。
- (オプション)[管理者認証情報]領域で以下を行います。
- [認証情報が必要]オプションを選択します。
- 管理者アカウントの認証情報を入力します。
- (オプション)[ユーザ属性]領域でSingle Sign-On用に予約されているユーザ ディレクトリ プロファイル属性を指定します。
- (オプション)[属性マッピング リスト]領域の[作成]をクリックして、ユーザ属性マッピングを設定します。
- [サブミット]をクリックします。ユーザ ディレクトリ接続が作成されます。
注:
新規ユーザ ディレクトリ接続は、ポリシー サーバが管理上の変更を適用するまで(デフォルトでは 60 秒ごと)、ポリシー サーバに使用可能になりません。これは、ユーザ ディレクトリ接続が変更された場合も同様です。