Active Directory ユーザ ストア接続の設定

目次
casso127jpjp
目次
how to configure an Active Directory user store connection
前提条件
AD ユーザ ストア接続を設定する前に、以下が揃っていることを確認します。
  • 管理 UI がインストールされ、ポリシー サーバに登録されている。
  • ユーザ ストア接続を作成するために必要な権限を持った管理者アカウント。
発生する一般的な Active Directory LDAP バインド エラーの詳細については、Microsoft の Web サイトの MSDN を参照してください。
接続用 AD または LDAP ネームスペースの選択
AD ネームスペースまたは LDAP ネームスペースとして、ユーザ ストア接続を設定できます。選択するネームスペースのタイプは、
Single Sign-On
機能のサポートされる機能およびその他の領域に影響します。
以下の表では、AD ネームスペースと LDAP ネームスペースの利点および欠点について説明します。
ネームスペース タイプ
利点
欠点
AD
  • Windows ネイティブな証明データベースを使用する SSL 接続
  • ポリシー サーバと Active Directory ユーザ ストアをホスティングするシステムを信頼できるものとして確立する必要があります。
  • 安全な LDAP バインド操作が可能な Windows ネイティブ SASL のサポート
  • 拡張 LDAP リフェラル処理はサポートされない
  • LDAP のページング操作とソート操作はサポートされない
  • マルチバイト文字セットはサポートされていません。
    マルチバイト文字セットを使用するには、LDAP ネームスペースを使用して、ディレクトリ接続を設定します。使用しているコード ページに関係なく、使用しているコード ページが文字をシングル バイト文字として参照するかどうかに関係なく、ポリシー サーバが文字を Unicode で定義されているように処理することに注意してください。
LDAP
  • 拡張 LDAP リフェラル処理がサポートされる
  • LDAP のページング機能とソート機能がサポートされる
  • ネイティブ Windows SASL はサポートされない。
  • オブジェクト クラス属性はインデックス付けされない。
    Active Directory ユーザ ディレクトリを使用して効率よく稼働させるには、Active Directory でオブジェクト クラス属性にインデックスを付けます。インデックス付けの詳細については、ベンダー固有のドキュメントを参照してください。
  • Windows ユーザ セキュリティ コンテキストを使用します。エージェントは、Windows ユーザ セキュリティ コンテキストで稼働でき、ユーザは IIS Web サーバ上の Web リソースにアクセスできます。ポリシー サーバで Windows ユーザ セキュリティ コンテキストを提供するには。
    1. セッション ストアを設定し、レルム単位で永続セッションを有効にします。
    2. 管理 UI で、[ディレクトリのセットアップ]の下の
      [認証済みユーザのセキュリティ コンテキストを使用]
      を選択して、コンテキストを有効にします。
ユーザ ストア情報の収集
ユーザ ストア接続を作成する前に、LDAP 設定およびユーザ属性に関する必要な情報を収集します。
ディレクトリ サーバ管理者に問い合わせて、この情報を収集してください。
  • サーバ
    Active Directory ホスト システムの IP アドレスおよびポートを指定します。
  • LDAP 検索ルート
    ポリシー サーバがディレクトリ接続の開始ポイントとして使用する LDAP ツリー内の場所を指定します。ポリシー サーバは、ルートからユーザの検索を開始します。
    例:
    dc=domainname、dc=com
  • ユーザ DN の検索
    LDAP ユーザ ストアでユーザを特定するための LDAP 検索式またはユーザ DN のテキスト文字列を指定します。完全な検索には、先頭文字列と終端文字列が必要です。[先頭]フィールドの文字列、ユーザ名、および[終端]フィールドの文字列の組み合わせを使用して、LDAP ユーザ ストアが検索されます。
    例(先頭):
    (sAMAccountName=
    例(終端):
    )
  • ユニバーサル ID
    ポリシー サーバがユニバーサル ID として使用する属性の名前を指定します。
    例:
    sAMAccountName
  • 無効フラグ
    ユーザの無効状態が格納されるユーザ ディレクトリ属性の名前を指定します。
    例:
    carLicense (または任意の整数属性)
  • Password
    ポリシー サーバがユーザのパスワードの認証に使用するユーザ ディレクトリ属性の名前を指定します。
    例:
    unicodePwd
  • パスワード データ
    ポリシー サーバがパスワード サービス データ用に使用する、ユーザ ディレクトリ属性の名前を指定します。
    例:
    audio
    [パスワード データ]には任意の大型のバイナリ属性を値として使用できます。値は基本パスワード サービスを使用している場合にのみ必要です。
元から無効な未認証ユーザに対するパスワード サービス リダイレクトの無効化
デフォルトでは、
CA Single Sign-on
は、これらのユーザがディレクトリ サーバで元から無効である場合、そのユーザに認証情報の再入力を求めます。ポリシー サーバは、リソースを保護する認証方式でパスワード サービスが無効であっても、これらのユーザをパスワード サービスにリダイレクトします。
この動作を防ぐためには、以下のレジストリ キーが必要です。
textIgnoreDefaultRedirectOnADnativeDisabled
ポリシー サーバ管理者およびリクエストに問い合わせて、キーを作成し、有効にするように依頼します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. レジストリ エディタを開き、以下の場所に移動します。
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. レジストリ キー IgnoreDefaultRedirectOnADnativeDisabled を作成し、レジストリのタイプは REG にします。
    値:
    0(無効)または 1(有効)
    デフォルト:
    0
  4. 値を 1 として設定します。
  5. レジストリ エディタを終了します。
  6. ポリシー サーバを再起動します。
重要:
パスワード サービスへのリダイレクトを指定するパスワード ポリシーが有効な場合、
Single Sign-On
は、このレジストリ キーの設定にかかわらず、元から無効なユーザをパスワード サービスにリダイレクトします。
Active Directory 統合の拡張の有効化
Active Directory 2008 には、Windows ネットワーク オペレーティング システム(NOS)に固有なユーザ属性とドメイン属性がいくつかあります。LDAP 標準では、これらのユーザおよびドメインの属性は必要ありません。パスワード サービスが有効な場合は、管理 UI を使用して、拡張された Active Directory 統合を有効にします。このオプションは、AD のユーザ属性と、
Single Sign-On
でマップされるユーザ属性を同期することによって、ポリシー サーバのユーザ管理機能と AD のパスワード サービス間の統合を強化します。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [管理]-[ポリシー サーバ]-[グローバル ツール]をクリックします。
  3. [Active Directory 統合を拡張]を選択します。
  4. [サブミット]をクリックします。
    拡張された Active Directory 統合が有効になります。
ユーザ ストア接続の作成
ユーザ ストア接続の設定により、ポリシー サーバは Active Directory と通信できます。環境でパスワード サービスが使用されている場合は、SSL 接続とパスワード属性(例: uincodePWD)が必要です。
SSL を介して通信するように Active Directory を設定する方法の詳細については、ベンダー固有のドキュメントを参照してください。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]をクリックします。
  3. [ユーザ ディレクトリの作成]をクリックします。
  4. Microsoft Active Directory は LDAP に対応したユーザ ディレクトリです。AD ネームスペースまたは LDAP ネームスペースを使用して、接続を設定できます。以下の
    いずれか
    を実行します。
    • デフォルトの LDAP 設定のままにします。
    • [ネームスペース]リストから[AD]を選択します。
  5. [一般]および[ディレクトリのセットアップ]セクションで、残りの必要な接続情報を入力します。
    注:
    ポリシー サーバと Active Directory ネームスペースが SSL 接続を使用して通信する場合は、[ディレクトリのセットアップ]セクションの
    [サーバ]
    フィールドで、完全修飾ドメイン名(FQDN)とポートを指定します。FQDN を含めない場合、ポリシー サーバはユーザ ディレクトリに接続できないことを示すエラーをログに記録します。証明書がサーバ名と一致しないことを報告する Windows イベントもログに記録されます。
    ポリシー サーバおよびディレクトリ ストアが使用する証明書は、以下の条件で FIPS に準拠している必要があります。
    • ポリシー サーバが FIPS モードで動作している場合。
    • ポリシー サーバと通信する際に、ディレクトリ接続では安全な SSL 接続が使用される場合。
  6. (オプション)[ディレクトリのセットアップ]で[設定]をクリックしてロード バランシングおよびフェールオーバを設定します。
  7. [管理者認証情報]で、以下の手順に従います。
    1. [認証情報が必要]を選択します。
    2. 管理者アカウントの認証情報を入力します。[ユーザ名]フィールドで、管理者の完全修飾ドメイン名(FQDN)を指定します。しない場合、ユーザ認証に失敗する場合があります。
  8. [LDAP 設定]領域の[LDAP 検索]および[LDAP ユーザ DN ルックアップ設定]を設定します。
  9. [ユーザ属性]領域で
    Single Sign-On
    用に予約されているユーザ ディレクトリ プロファイル属性を指定します。
  10. (オプション)[属性マッピング リスト]領域の[作成]をクリックして、ユーザ属性マッピングを設定します。
  11. [サブミット]をクリックします。ユーザ ディレクトリ接続が作成されます。
新規ユーザ ディレクトリ接続は、ポリシー サーバが管理上の変更を適用するまで(デフォルトでは 60 秒間隔)、ポリシー サーバで使用可能になりません。これは、ユーザ ディレクトリ接続が変更された場合も同様です。
EnableADEnhancedReferals レジストリ キーの無効化
ユーザ ストア接続が LDAP ネームスペースを使用して設定されている場合は、EnableADEnhancedReferals レジストリ キーを無効にします。このレジストリ キーを無効にすると、LDAP 接続エラーは発生しません。
ポリシー サーバ管理者およびリクエストに問い合わせて、キーを無効にするように依頼します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. レジストリ エディタを開き、以下の場所に移動します。
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. EnableADEnhancedReferral キーの値を 0 として設定します。
    値:
    0(無効)または 1(有効)
    デフォルト:
    1
  4. レジストリ エディタを終了します。
SASL バインド レジストリ キーの有効化
Windows ベースのポリシー サーバは、SASL を使用して、Active Directory に対してユーザを認証できます。SASL バインドの使用を有効にするには、
EnableSASLBind
レジストリ キーを作成し、有効にします。この設定を有効にする場合、完全修飾識別名ではなく、ユーザ ディレクトリ設定で管理者名を AD ログイン名に設定します。
重要:
ポリシー サーバとユーザ ストア間での SSL 接続を設定する場合は、このレジストリ キーを有効にしないでください。
ポリシー サーバ管理者およびリクエストに問い合わせて、キーを作成し、有効にするように依頼します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. レジストリ エディタを開き、以下の場所に移動します。
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. レジストリ キー
    EnableSASLBind
    を作成し、レジストリ タイプは REG_DWORD にします。
  4. 値を 1 として設定します。
  5. レジストリ エディタを終了します。
  6. ポリシー サーバを再起動します。
ユーザ ストア接続のテスト
ユーザに対してクエリを実行することにより接続をテストします。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]をクリックします。
  3. 作成したユーザ ストアの名前をクリックします。
  4. [ディレクトリのセットアップ]で[内容の表示]をクリックします。
  5. [検索]のタイプが[属性/値]として選択されていることを確認します。
  6. [属性]にユニバーサル ID を入力します。
    例:
    sAMAccountName
  7. [値]フィールドに「*」と入力します。
  8. [Go]をクリックします。
    アカウント詳細が表示されます。ユーザ ストアに正常に接続しました。