第 3 章 |
SGD は、ディレクトリサービスの原則に基づいて構築されています。ユーザー、アプリケーション、およびアプリケーションサーバーは、ディレクトリ内のオブジェクトで表現されます。 これらのオブジェクトは、組織を表現する組織階層に構造化されます。
組織階層は、トップレベルのディレクトリオブジェクト (通常は組織オブジェクト) から始まります。ほかのディレクトリオブジェクト (組織単位 (OU) など) は、組織階層を分割するために使用できるコンテナです。グループオブジェクトを作成することができます。グループオブジェクトはコンテナではありません。グループには、組織階層のほかの部分に存在するオブジェクトであるメンバーが含まれています。
また、SGD にも、ユーザー、アプリケーション、およびアプリケーションサーバーを表現するためのさまざまなオブジェクトタイプがあります。
各オブジェクトには、属性と呼ばれるいくつかの設定があります。たとえば、アプリケーションオブジェクトには、ユーザーに表示するアイコンの名前である「アイコン」属性があります。
SGD オブジェクトと、各オブジェクトで使用される属性は、一般的に使用されている LDAP Version 3 スキーマに基づいています。SGD 機能をサポートするために、これらのオブジェクトは標準的な方法を使用して拡張されています。LDAP スキーマの詳細については、RFC 2256を参照してください。
SGD は、ローカルリポジトリを使用して、組織階層内にすべてのオブジェクトを格納します。 各オブジェクトは、属性名を接頭辞として使用することで (たとえば、ou=Sales)、同じコンテナ内のほかのオブジェクトから区別されます。この属性は、名前属性または相対識別名 (RDN) と呼ばれます。同じコンテナ内の 2 つのオブジェクトが同じ RDN を持つことはできません。階層のトップレベルからのすべての RDN を含むオブジェクトの完全な名前が識別名 (DN) (たとえば、o=Indigo Insurance/ou=Sales) です。DN は、オブジェクトを一意に識別する名前です。次の表に、オブジェクトと、その RDN および DN の例をいくつか示します。
オブジェクトタイプ | 相対識別名 | 識別名 |
---|---|---|
組織 | o=Indigo Insurance | o=Indigo Insurance |
OU | ou=Sales | o=Indigo Insurance/ou=Sales |
ユーザープロファイル | cn=Violet Carson | o=Indigo Insurance/ou=Sales/cn=Violet Carson |
ユーザープロファイル | cn=Elizabeth Blue | o=Indigo Insurance/ou=Sales/cn=Elizabeth Blue |
オブジェクト間の関係は重要です。たとえば、ユーザーにアプリケーションを配備するには、ユーザープロファイルオブジェクトをアプリケーションオブジェクトに関連付けます。SGD では、これらの関係を割り当てと呼びます。 割り当てについては、アプリケーションの公開でさらに詳しく説明します。
階層とオブジェクトの詳細については、以降の節を参照してください。
SGD は、ユーザー、アプリケーション、アプリケーションサーバーの各組織階層と、SGD が使用するオブジェクトが含まれたシステムオブジェクト階層の 4 つの組織階層を使用します。Administration Console では、次のタブを使用してこれらの組織階層を管理します。
以降のセクションでは、これらのタブ、そのタブに含めることのできるオブジェクト、およびその使用方法について説明します。また、システムオブジェクト組織についても説明します。
コマンド行では、tarantella object コマンドを使用して組織階層を管理します。また、このコマンドでは、バッチスクリプトを使用して組織階層を移植することもできます。バッチスクリプトを使用した SGD 組織階層の移植を参照してください。
Administration Console の「ユーザープロファイル」タブでは、SGD ユーザーを管理するためのオブジェクトを作成して設定します。このタブにあるオブジェクトを使用して、ユーザーの SGD 関連の設定や、ユーザーが SGD を介してアクセスできるアプリケーションを制御します。
デフォルトでは、このタブには、o=organization と呼ばれる組織オブジェクトと、dc=com と呼ばれるドメインコンポーネントオブジェクトの 2 つのオブジェクトが含まれています。これらは、組織階層内のトップレベルのオブジェクトです。これらのオブジェクトの名前変更や削除、または新しいトップレベルのオブジェクトの作成を行うことができます。ユーザーの管理に必要なオブジェクトはすべて、これらのトップレベルのオブジェクト内で作成します。
Administration Console の「アプリケーション」タブでは、ユーザーが SGD を介してアクセスできるアプリケーションやドキュメントを表現するオブジェクトを作成して設定します。これらのオブジェクトは常に、アプリケーション組織内で作成されます。コマンド行では、この組織は o=applications と呼ばれます。
Administration Console の「アプリケーションサーバー」タブでは、SGD を介して表示されたアプリケーションを実行するアプリケーションサーバーを管理するためのオブジェクトを作成して設定します。これらのオブジェクトは常に、アプリケーションサーバー組織内で作成されます。コマンド行では、この組織は o=appservers と呼ばれます。
システムオブジェクト組織には、SGD の運用と保守に不可欠なオブジェクトが格納されています。コマンド行では、システムオブジェクト組織は o=Tarantella System Objects として表示されます。
システムオブジェクト組織には、「Global Administrators」ロールオブジェクトが含まれています。このオブジェクトによって、だれが SGD 管理者であり、だれが SGD グラフィカル管理ツールを使用できるかが決定されます。SGD 管理者を参照してください。
システムオブジェクト組織にはまた、プロファイルオブジェクトも含まれています。これらのオブジェクトは、SGD でサポートされている各種の認証機構で使用されるデフォルトのユーザープロファイルオブジェクトです。たとえば、LDAP または Active Directory 認証を使用している場合は、プロファイルオブジェクト System Objects/LDAP Profile がデフォルトのユーザープロファイルです。
システムオブジェクト組織内のオブジェクトを編集することは可能ですが、オブジェクトを作成、移動、削除したり、名前を変更したりすることはできません。
ここでは、使用可能な SGD オブジェクトタイプとその使用方法について説明します。
ユーザー、アプリケーション、およびアプリケーションサーバーを編成するために使用されるオブジェクトタイプを次に示します。
ユーザー、アプリケーション、およびアプリケーションサーバーを表現するために使用されるオブジェクトタイプを次に示します。
組織オブジェクトであるディレクトリオブジェクトは、組織全体に適用する設定のために使用されます。組織オブジェクトは常に、組織階層のトップレベルにあり、OU オブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。
ドメインコンポーネントオブジェクトであるディレクトリ (軽量) オブジェクトは、ディレクトリ構造 (通常は Microsoft Active Directory 構造) を SGD 組織階層内に複製するために使用されます。ドメインコンポーネントオブジェクトは組織オブジェクトに似ていますが、追加の SGD 固有属性が含まれていないか、ユーザーがアプリケーションを割り当てることができません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
ドメインコンポーネントオブジェクトが表示されるのは、組織階層のトップレベルか、別のドメインコンポーネントオブジェクト内に限られます。ドメインコンポーネントオブジェクトには、OU オブジェクト、ドメインコンポーネントオブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。
コマンド行では、tarantella object new_dc コマンドを使用してドメインコンポーネントオブジェクトを作成します。
OU オブジェクトであるディレクトリオブジェクトは、ユーザー、アプリケーション、およびアプリケーションサーバーを各部門、サイト、またはチームに分割するために使用されます。
OU は、組織オブジェクトまたはドメインコンポーネントオブジェクトに含めることができます。
コマンド行では、tarantella object new_orgunit コマンドを使用してディレクトリオブジェクトを作成します。
Active Directory コンテナオブジェクトは、Microsoft Active Directory 構造を SGD 組織階層内に複製するために使用されます。
Active Directory コンテナオブジェクトは OU に似ていますが、SGD 固有の属性は含まれていません。また、アプリケーションを割り当てることもできません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
Active Directory コンテナオブジェクトは、組織オブジェクト、OU オブジェクト、またはドメインコンポーネントオブジェクトに含めることができます。
コマンド行では、tarantella object new_container コマンドを使用して Active Directory コンテナオブジェクトを作成します。
ユーザープロファイルオブジェクトは、組織内のユーザーを表現し、そのユーザーがアプリケーションにアクセスできるようにするために使用されます。また、ユーザーに関連付けられた SGD 設定も定義します。
SGD がユーザープロファイルオブジェクトをユーザーに関連付ける方法は、使用されている認証機構によって異なります。認証機構によっては、ユーザープロファイルオブジェクトを作成する必要がまったくない場合もあります。詳細については、Secure Global Desktop 認証を参照してください。
コマンド行では、tarantella object new_person コマンドを使用してユーザープロファイルオブジェクトを作成します。
ユーザープロファイルオブジェクトには、「cn= (共通名)」、「uid= (ユーザー識別情報)」、または「mail= (電子メールアドレス)」名前属性を指定できます。
グループオブジェクトは、アプリケーションのグループを「ユーザープロファイル」タブのオブジェクトに関連付けたり、アプリケーションサーバーのグループを「アプリケーション」タブのオブジェクトに関連付けたりするために使用されます。
グループオブジェクトはディレクトリオブジェクトと同じではありません。アプリケーションまたはアプリケーションサーバーは、1 つのディレクトリにしか所属できませんが、さまざまなグループのメンバーになることができます。
グループのメンバーにすることができるのは、アプリケーション、アプリケーションサーバー、またはその他のグループです。グループは、グループメンバーシップに影響を与えずに、移動したり、名前を変更したりできます。
アプリケーションサーバーオブジェクトのグループを使用すると、負荷分散のために、類似したアプリケーションサーバーを関連付けることができます。詳細については、負荷分散を参照してください。
コマンド行では、tarantella object new_group コマンドを使用してグループオブジェクトを作成します。
Windows アプリケーションオブジェクトは、ユーザーに Microsoft Windows グラフィカルアプリケーションを提供するために使用されます。詳細については、Windows アプリケーションを参照してください。
コマンド行では、tarantella object new_windowsapp コマンドを使用して Windows アプリケーションオブジェクトを作成します。
X アプリケーションオブジェクトは、ユーザーに X11 グラフィカルアプリケーションを提供するために使用されます。詳細については、X アプリケーションを参照してください。
コマンド行では、tarantella object new_xapp コマンドを使用して X アプリケーションオブジェクトを作成します。
文字型アプリケーションオブジェクトは、ユーザーに VT420、Wyse 60、または SCO コンソールの文字型アプリケーションを提供するために使用されます。詳細については、文字型アプリケーションを参照してください。
コマンド行では、tarantella object new_charapp コマンドを使用して文字型アプリケーションオブジェクトを作成します。
ドキュメントオブジェクトは、ユーザーにドキュメントを提供するために使用されます。ドキュメントオブジェクトは、任意の URL (Uniform Resource Locator) を参照できます。
コマンド行では、tarantella object new_doc コマンドを使用してドキュメントオブジェクトを作成します。
3270 アプリケーションオブジェクトは、ユーザーに 3270 (メインフレーム) アプリケーションを提供するために使用されます。
コマンド行では、tarantella object new_3270app コマンドを使用して 3270 アプリケーションオブジェクトを作成します。
5250 アプリケーションオブジェクトは、ユーザーに 5250 (AS/400) アプリケーションを提供するために使用されます。
コマンド行では、tarantella object new_5250app コマンドを使用して 5250 アプリケーションオブジェクトを作成します。
アプリケーションサーバーオブジェクトは、SGD を介してアプリケーションを実行するために使用されるアプリケーションサーバーを表現するために使用されます。
アプリケーションサーバーは負荷分散で使用されます。2 つ以上のアプリケーションサーバーオブジェクトを 1 つのアプリケーションオブジェクトに割り当てる場合、SGD では、すべてのアプリケーションサーバーにおける負荷に基づいて、使用するアプリケーションサーバーが選択されます。詳細については、負荷分散を参照してください。
コマンド行では、tarantella object new_host コマンドを使用してアプリケーションサーバーオブジェクトを作成します。アプリケーションサーバーオブジェクトには、「cn=」名前属性を指定します。
組織階層をモデル化するために作成するオブジェクトを完全に制御できます。ただし、組織階層を実装する前に、その組織階層を設計してテストすることが重要です。設計に影響する要素としては、次のものがあります。
認証機構。組織階層の設計にもっとも重要な影響を与えるものは、使用する Secure Global Desktop 認証機構です。たとえば、UNIX システム認証を使用する場合は、階層を任意の方法で構造化できます。しかし、LDAP 認証の場合は、LDAP ディレクトリ構造の一部のミラー化が必要になることがあります。詳細については、Secure Global Desktop 認証を参照してください。
組織図。場合によっては、OU を使用して、組織内の部門またはオフィスを表現する方法が適していることがあります。ただし、組織が再構築された場合は、階層の再構成が必要になることがあります。
継承。ユーザープロファイルオブジェクトと OU オブジェクトの設定は、組織階層内のそのオブジェクトの親から継承できます。たとえば、ある部門内の全員にアプリケーションが必要な場合は、その部門を表現する OU にアプリケーションを割り当てます。その OU に属するすべてのユーザーが、OU に割り当てられたアプリケーションを使用できます。継承は、LDAP 割り当てを使用していない場合にもっともよく機能します。
ユーザープロファイルオブジェクトユーザープロファイルオブジェクトを設定すると、ユーザーに特定のアプリケーションやカスタマイズされた設定へのアクセスを許可できます。有効になっている認証機構によっては、一般にデフォルトのユーザープロファイルが使用され、これで十分ニーズを満足できる可能性があります。これは特に、LDAP 割り当てを使用してユーザーにアプリケーションを割り当てる場合に当てはまります。
命名規則。各アプリケーションまたはドキュメントオブジェクトタイプ用の命名規則を使用します。アプリケーションまたはドキュメントオブジェクトの名前はユーザーに表示されます。ユーザープロファイルオブジェクトの場合は、人物のフルネーム (たとえば、「Indigo Jones」) を使用する方法が最適です。
Administration Console でオブジェクトを作成する際、オブジェクトの名前には、バックスラッシュ (\) とプラス (+) を除く任意の文字を使用できます。
コマンド行で、オブジェクト名の中でスラッシュを使用するときは、バックスラッシュでエスケープ処理を行う必要があります。SGD では、スラッシュが組織階層の一部分として解釈されるためです。たとえば、ユーザーが o=organization の下位に cn=a/b という相対名のオブジェクトを作成しようとすると、SGD は o=organization/cn=a の内部に b というオブジェクトを作成しようとします。実際には o=organization/cn=a というオブジェクトは存在しないため、エラーが発生します。この名前のオブジェクトを作成するには、cn=ab と入力します。
空白文字を含むオブジェクト名をコマンド行で使用する場合は、名前を引用符で囲みます (たとえば、".../_ens/o=Indigo Insurance")。
コマンド行でのオブジェクト名の付け方は、オブジェクトが SGD データストアのどの部分から生じているかによって異なります。
たとえば、ローカルリポジトリ内のオブジェクトには、次の名前を指定できます。
.../_ens/o=Indigo Insurance/ou=Marketing/cn=Cust-o-Dat
ローカルリポジトリ内のオブジェクトでは、名前の .../_ens 部分はオプションです。次のように入力することもできます。
o=Indigo Insurance/ou=Marketing/cn=Cust-o-Dat
LDAP ディレクトリに格納されているオブジェクトには、次の名前を指定できます。
.../_service/sco/tta/ldapcache/cn=Cust-o-Dat,ou=Marketing,o=Indigo Insurance
.../_dns/verona.indigo-insurance.com
tarantella object コマンドでは、ローカルリポジトリ内の名前はすべて、大文字と小文字が区別されません。オブジェクトの作成や名前の変更を行う際は、使用される大文字と小文字の区別が保持されます。ただし、tarantella webtopsession コマンドや tarantella emulatorsession コマンドなどのその他のコマンドでは、大文字と小文字が区別されます。
多数のオブジェクトを含む組織階層を移植する場合、Administration Console を使用してこれを行うのはあまり効率的ではありません。この問題を解決するには、tarantella object コマンドのバッチスクリプト処理機能を使用します。
SGD 組織階層の構造を設計したら、必要なオブジェクトのタイプごとにファイルを作成します。各ファイルには、適切な tarantella object コマンドからオブジェクトを作成するための正しい構文で、オブジェクトごとに 1 行を記述します。たとえば、5 つの OU を作成するには、orgunits.txt というファイルに次のような行を記述します。
--name "o=Indigo Insurance/ou=IT" \ --name "o=Indigo Insurance/ou=Sales" \ --name "o=Indigo Insurance/ou=Marketing" \ --name "o=Indigo Insurance/ou=Finance" \ --name "o=Indigo Insurance/ou=Finance/ou=Administration" |
各行の一部として、実際の tarantella object コマンド名 (たとえば、object new_orgunit) を指定しないでください。
アプリケーションオブジェクト (グループと OU を含む) は、o=applications 組織で作成する必要があります。
アプリケーションサーバーオブジェクト (グループと OU を含む) は、o=appservers 組織で作成する必要があります。
すべてのファイルを作成し終えたら、tarantella object script コマンドを使用してすべてのファイルを一度に処理します。次に例を示します。
#!/bin/sh tarantella object script << EOF new_orgunit --file orgunits.txt new_group --file groups.txt new_host --file hosts.txt new_person --file people.txt new_xapp --file xapps.txt new_windowsapp --file windowsapps.txt new_charapp --file charapps.txt EOF |
tarantella object script コマンドによって、各コマンドが順番に実行されます。指定したファイルが各コマンドによって読み込まれ、処理されます。
tarantella object script コマンドでは、任意の tarantella object サブコマンドを一緒に使用できます。他のファイルからオブジェクトの詳細を読み込む必要はありません。
たとえば、tarantella passcache コマンドなど、ほかの多くのコマンドで --file 引数を使用できるため、関連する複数のアクションを一度に実行できます。
ユーザーが LDAP 認証、Active Directory 認証、または LDAP 検索を使用したサードパーティー認証のいずれかによって認証されている場合、SGD はローカルリポジトリを検索してユーザーのユーザープロファイルを確立します。これによって、LDAP と SGD の命名体系の違いに対応できます。SGD は、一致するものが見つかるまで次の検索を行います。
LDAP 人物オブジェクトと同じ名前を持つユーザープロファイル。
たとえば、LDAP 人物オブジェクトが cn=Emma Rald,cn=Sales,dc=Indigo Insurance,dc=com である場合、SGD はローカルリポジトリで、dc=com/dc=Indigo Insurance/cn=Sales/cn=Emma Rald を検索します。
LDAP 人物オブジェクトと同じ組織単位に含まれるが、cn=LDAP Profile という名前を持つユーザープロファイル。
たとえば、dc=com/dc=Indigo Insurance/cn=Sales/cn=LDAP Profile です。
一致するものが見つからない場合は、プロファイルオブジェクト System Objects/LDAP Profile がユーザープロファイルとして使用されます。
通常、LDAP ユーザーおよび Active Directory ユーザーはデフォルトの LDAP プロファイルを使用し、アプリケーションとドキュメントは LDAP 割り当てを使用してこれらのユーザーに割り当てられます。LDAP 割り当てを参照してください。ただし、ユーザープロファイルオブジェクトを使用して、コピー&ペーストを使用する機能やクライアントプロファイルを編集する機能など、ユーザーの SGD 固有の設定を制御することもできます。LDAP または Active Directory ユーザーの SGD 設定をカスタマイズする場合は、LDAP 組織の一部をローカルリポジトリにミラー化しなければいけないことがあります。
LDAP 組織をミラー化するときは、次のことに留意してください。
すべてのユーザーのユーザープロファイルオブジェクトを作成しないでください。個別の設定が必要なユーザーのユーザープロファイルオブジェクトのみを作成してください。ほとんどの場合は、cn=LDAP Profile オブジェクトを作成するだけで十分です。
LDAP 認証、または LDAP 検索を使用したサードパーティー認証を設定する場合は、1 つ以上の LDAP URL を指定します。LDAP URL には検索ルートを含めることができます。LDAP URL に検索ルートを指定した場合、その検索ルートは、ローカルリポジトリにミラー化する必要のあるオブジェクトの開始位置として使用されます。
Administration Console で LDAP ミラー化を操作する場合は、操作するオブジェクトの名前属性を表示すると役立ちます。デフォルトでは、Administration Console に名前属性は表示されません。名前属性の表示は、Administration Console の「設定」で有効にします。
Administration Console でユーザープロファイルを操作する場合は、「ユーザープロファイル」タブの「リポジトリ」リストから「ローカル + LDAP」を選択します。ローカルリポジトリにミラー化された LDAP オブジェクトは、次のアイコンで示されます。
次に挙げるのは、LDAP 組織をミラー化して、ユーザーに異なる SGD 設定を行う方法を示した例です。
Indigo Insurance には、IT、Sales、Marketing、Finance、Administration の 5 つの部門があります。Finance 部門と Marketing 部門には、ほかの部門とは異なる SGD 設定が必要です。Finance 部門の Sid Cerise には、Finance 部門のほかのユーザーとは異なる SGD 設定が必要です。
作成するオブジェクトは、使用している LDAP ディレクトリサーバーの種類に依存します。これについては次の節で説明します。
Sun Java System Directory Server で、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と、使用するオブジェクトタイプは次のとおりです。
注 - Administration Console で、ディレクトリオブジェクトを作成します。名前属性は自動的に設定されます。 |
図 3-1 は、Administration Console でミラー化されたオブジェクトを示しています。
この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。
注 - Administration Console では、ユーザープロファイルオブジェクト o=indigo-insurance.com/ou=Finance/uid=Sid Cerise の名前属性として uid を必ず選択してください。 |
Sid Cerise の設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
Finance 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
Marketing 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile で定義されたものになります。
Microsoft Active Directory では、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と使用するオブジェクトのタイプは次のとおりです。
注 - Administration Console では、ディレクトリ (軽量) オブジェクトを作成してから、正しい名前属性を選択することによってドメインコンポーネントと Active Directory コンテナを作成します。 |
図 3-2 は、Administration Console でミラー化されたオブジェクトを示しています。
この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。
ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile で定義されたものになります。
注 - SGD 設定をドメインコンポーネントおよび Active Directory コンテナオブジェクトから継承することはできません。 |
SGD では、管理者特権は、システムオブジェクト組織内の「Global Administrators」ロールオブジェクトを使用して管理されます。
「Global Administrators」ロールオブジェクトには、メンバーのリストと、割り当て済みアプリケーションのリストが含まれています。SGD 管理者はすべて、「Global Administrators」ロールオブジェクトのメンバーとして定義されます。割り当て済みアプリケーションのリストは、SGD 管理者に管理ツールを割り当てるために使用されます。SGD 管理者には、割り当てられているほかのすべてのアプリケーションに加えて、これらのアプリケーションが割り当てられます。
SGD グラフィカル管理ツール、Administration Console、および Profile Editor を使用して SGD を設定できるのは SGD 管理者だけです。SGD コマンド行ツールを使用するためには、次の条件が適用されます。
ユーザーを ttaserv グループのメンバーにするには、usermod -G コマンドを使用します。ttaserv グループは、ユーザーのプライマリグループまたは実効グループでなくてもかまいません。
SGD Administration Console または tarantella role コマンドを使用して、SGD 管理者を追加または削除できます。
「Global Administrators」ロールオブジェクトのメンバーとしてユーザープロファイルオブジェクトが定義されていない場合は、UNIX または Linux システムの root ユーザーに管理者特権が付与されます。
注 - LDAP ディレクトリまたは Active Directory 認証を使用して SGD 管理者を認証する場合は、SGD 管理者のユーザープロファイルを作成する必要があります。詳細については、LDAP ミラー化を参照してください。 |
組織内のアプリケーション、アプリケーションサーバー、およびユーザーを表現するオブジェクトを作成しても、それだけでユーザーが SGD を介してアプリケーションにアクセスできるわけではありません。アプリケーションを公開する必要があります。アプリケーションは、組織階層内のオブジェクト間の関係を作成することによって公開します。SGD では、これらの関係を割り当てと呼びます。アプリケーションを公開するには、次の手順を実行します。
アプリケーションサーバーにアプリケーションを割り当てます。これにより、そのアプリケーションを実行できるアプリケーションサーバーが設定されます。
ユーザーにアプリケーションを割り当てます。これにより、Webtop 上にアプリケーションが表示されるユーザーが設定されます。
ローカル割り当て。これは SGD リポジトリ内に存在するオブジェクト間の関係です。ローカル割り当てを参照してください。
LDAP 割り当て。これは SGD リポジトリ内のオブジェクトと LDAP ディレクトリ内のオブジェクトの間の関係です。LDAP 割り当てを参照してください。
アプリケーションサーバーへのアプリケーションの割り当ては、ローカル割り当てを使用して実行されます。
ユーザーへのアプリケーションの割り当ては、ローカル割り当て、LDAP 割り当て、またはその両方の組み合わせを使用して実行されます。
Administration Console には、割り当てを確認するためのいくつかの方法が用意されています。割り当ての確認を参照してください。
ローカル割り当ては、ローカルリポジトリ内のオブジェクト間の関係です。
Administration Console の「アプリケーション」タブで、次のようにアプリケーションを割り当てます。
「ホストしているアプリケーションサーバー」タブを使用して、アプリケーションサーバーにアプリケーションまたはアプリケーションのグループを割り当てます。
アプリケーションにアプリケーションサーバーを割り当てる方法を参照してください。
ヒント - グループおよびアプリケーションサーバーオブジェクトの「ホストされているアプリケーション」タブからアプリケーションを割り当てることもできます。 |
「割り当て済みのユーザープロファイル」タブを使用して、ユーザーにアプリケーションを割り当てます。
ユーザーにアプリケーションを割り当てる方法を参照してください。
ヒント - ディレクトリおよびユーザープロファイルオブジェクトの「割り当て済みのアプリケーション」タブからアプリケーションを割り当てることもできます。 |
SGD は、ローカル割り当てをより管理しやすく、より効率的にするために継承を使用しています。OU およびユーザープロファイルオブジェクトは、組織階層内の親オブジェクトの割り当てや設定を継承できます。継承は、デフォルトで有効になっています。継承を使用するには、OU オブジェクト内にユーザープロファイルオブジェクトを作成し、それらの OU にアプリケーションを割り当てます。
Administration Console には、割り当てを確認するためのいくつかの方法が用意されています。割り当ての確認を参照してください。
Administration Console で、「アプリケーション」タブに移動し、アプリケーションオブジェクトまたはグループオブジェクトを選択します。
アプリケーションのグループを選択した場合は、そのグループ内のすべてのアプリケーションにアプリケーションサーバーを割り当てることができます。
アプリケーションサーバーまたはグループオブジェクトの横にあるチェックボックスを選択し、「追加」をクリックします。
複数のアプリケーションサーバーまたはアプリケーションサーバーのグループを選択した場合は、SGD によって、アプリケーションサーバー間の負荷分散が行われます。負荷分散を参照してください。
Administration Console で、「アプリケーション」タブに移動し、アプリケーションオブジェクトまたはグループオブジェクトを選択します。
アプリケーションのグループを選択した場合は、ユーザーにそのグループ内のすべてのアプリケーションを割り当てることができます。
ユーザープロファイルまたはディレクトリオブジェクトを検索します。
「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。
アプリケーションは、ユーザープロファイルまたはディレクトリオブジェクトに割り当てることができます。
アプリケーションをディレクトリオブジェクトに割り当てた場合は、そのディレクトリオブジェクトに含まれるすべてのユーザープロファイルが自動的にそのアプリケーションを受け取ります。これは、継承と呼ばれます。アプリケーションをディレクトリオブジェクトに割り当てると、より効率的です。
LDAP 割り当てでは、SGD の Directory Services Integration 機能を使用します。Directory Services Integration では、ローカルリポジトリの代わりに LDAP ディレクトリを使用してユーザー情報を管理します。つまり、ローカルリポジトリにユーザープロファイルオブジェクトを作成する必要はありません。
Directory Services Integration は、LDAP ディレクトリを検索することによってユーザーの識別情報が確立されているユーザーに対してのみ使用できます。つまり、ユーザーは次の認証機構のいずれかによって認証される必要があります。
Active Directory 認証。Active Directory 認証を参照してください。
LDAP 認証。LDAP 認証を参照してください。
LDAP リポジトリ検索を使用したサードパーティー認証または Web サーバー認証。サードパーティー認証と Web サーバー認証を参照してください。
LDAP 割り当ては、SGD リポジトリ内のオブジェクトと LDAP ディレクトリ内のオブジェクトの間の関係です。LDAP 割り当てでは、ユーザーにアプリケーションを割り当てるのではなく、アプリケーションにユーザーを割り当てます。Administration Console では、アプリケーション、ドキュメント、およびグループオブジェクトの「割り当て済みのユーザープロファイル」タブでこれを行います。次のようにしてユーザーの割り当てを実行できます。
LDAP ユーザー。LDAP ディレクトリ内の個々のユーザーを選択します。
詳細については、LDAP ユーザーにアプリケーションを割り当てる方法を参照してください。
LDAP グループ。LDAP ディレクトリ内のグループを選択すると、SGD によってそのグループ内のユーザーがアプリケーションに割り当てられます。
詳細については、LDAP グループのメンバーにアプリケーションを割り当てる方法を参照してください。
LDAP グループ検索を正常に使用するには、追加の設定が必要になることがあります。詳細については、LDAP グループ検索を調整するを参照してください。
LDAP 検索。LDAP 検索フィルタまたは URL を設定すると、SGD によって一致するユーザーがアプリケーションに割り当てられます。
詳細については、LDAP 検索を使用してアプリケーションを割り当てる方法を参照してください。
![]() | 注意 - LDAP 割り当てを使用するときには、LDAP ディレクトリサーバーとの間で多数のトラフィックが往復することになります。このため、大量のネットワークトラフィックが生成され、パフォーマンスが低下する可能性があります。LDAP 検索を使用すると、LDAP ユーザーやグループを使用する場合よりも効率的かつ柔軟です。LDAP ユーザーやグループは、できるだけ使用しないようにしてください。 |
Administration Console で LDAP 割り当てを操作する場合は、操作するオブジェクトの名前属性を表示すると役立ちます。デフォルトでは、Administration Console に名前属性は表示されません。名前属性の表示は、Administration Console の「設定」で有効にします。
コピー&ペーストを使用する機能や、クライアントプロファイルを編集する機能など、LDAP ユーザーに対する SGD 固有の設定をより詳細に管理する場合は、LDAP ミラー化を参照してください。
Administration Console には、LDAP 割り当てを使用して、どのユーザーがアプリケーションを受け取るように設定されているかが表示されます。割り当ての確認を参照してください。
LDAP 割り当ての操作に関するヒントについては、LDAP 割り当てのトラブルシューティングを参照してください。
アプリケーション、ドキュメント、またはグループオブジェクトを選択し、「割り当て済みのユーザープロファイル」タブに移動します。
「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。
グループオブジェクトを選択した場合は、LDAP グループのすべてのメンバーが、そのグループ内のすべてのアプリケーションを受け取ります。
LDAP グループの横にあるチェックボックスを選択し、「追加」ボタンをクリックします。
複数のグループをオブジェクトに割り当てる場合は、LDAP 検索を使用する方が効率的です。
ヒント - コマンド行では、--ldapgroups オプションを使用して LDAP グループのメンバーを割り当てることができます。 |
アプリケーション、ドキュメント、またはグループオブジェクトを選択し、「割り当て済みのユーザープロファイル」タブに移動します。
詳細については、LDAP 検索の使用を参照してください。
設定した検索によって期待した結果が返されるかどうかを確認するには、「プレビュー」ボタンをクリックします。
RFC 2254 検索フィルタ。http://www.faqs.org/rfcs/rfc2254.html を参照してください。
RFC 1959 LDAP URL。http://www.faqs.org/rfcs/rfc1959.html を参照してください。
LDAP 検索の設定として、Administration Console には「簡易検索」と「詳細検索」が用意されています。
LDAP 検索を設定するときは、「プレビュー」ボタンを使用して、検索によって期待した結果が返されることを確認します。
「簡易検索」では、次の一般的に使用されている LDAP と Active Directory 属性を使用して LDAP 検索を構成できます。
属性名 | 説明 |
---|---|
c | 2 文字の ISO 3166 国コードを含む countryName 属性。 |
cn | オブジェクトの名前を含む commonName 属性。人物オブジェクトの場合、通常はその人のフルネームになります。 |
departmentNumber | 部門のコードを含む属性。このコードには、数字または英数字を指定できます。 |
l | 都市や国などの地域名を含む localityName 属性。 |
memberOf | Active Directory のユーザーを管理するために一般的に使用される属性。ユーザーが所属するグループのリストが含まれています。 |
ou | 組織単位の名前を含む organizationalUnitName 属性。 |
sn | 人物の姓を含む surname 属性。 |
また、検索ルートを選択することもできます。指定した検索ルートは、SGD 認証機構のために設定された検索ルートの代わりに使用されます。検索ルートを指定した場合、検索は LDAP URL としてフォーマットされます。検索ルートを指定しなかった場合、検索は LDAP フィルタとしてフォーマットされます。
「詳細検索」フィールドを使用すると、ユーザー独自の LDAP 検索フィルタまたは URL を入力したり、別のツールから検索にペーストしたりできます。
LDAP URL を入力する場合は、ldap:///search の形式を使用します。URL に指定したホスト、ポート、および戻り値の属性は無視されます。
「簡易検索」を使用すると、基本的な検索を構成してそれを保存できます。これによって簡易検索が「詳細検索」フィールドに読み込まれます。そして「詳細検索」オプションを選択し、検索を微調整します。
注 - 「詳細検索」フィールドで「簡易検索」を微調整し、「簡易検索」と互換性のない方法で編集すると、再度「簡易検索」として検索を編集することができなくなる場合があります。このようになった場合は、「詳細検索」フィールドをクリアして変更を保存する必要があります。次に「簡易検索」を再構築します。 |
Administration Console を使用すると、次のように割り当てを確認できます。
アプリケーション、ドキュメント、グループ、および OU オブジェクトの「割り当て済みのユーザープロファイル」タブ-「有効なユーザープロファイル」テーブルに、アプリケーションが割り当てられているユーザーが表示されます。
ユーザープロファイル、OU、および組織オブジェクトの「割り当て済みのアプリケーション」タブ-「有効なアプリケーション」テーブルに、アプリケーションを割り当てられているユーザーが表示されます。
アプリケーションおよびグループオブジェクトの「ホストしているアプリケーションサーバー」タブ-「有効なアプリケーションサーバー」テーブルに、アプリケーションを実行できるアプリケーションサーバーが表示されます。
アプリケーションサーバーおよびグループオブジェクトの「ホストされているアプリケーション」タブ-「有効なアプリケーション」テーブルに、アプリケーションサーバー上で実行できるアプリケーションが表示されます。
デフォルトでは、LDAP 割り当ては表示されません。LDAP 割り当てを表示するには、有効な割り当てテーブルにある「LDAP のロード」リンクをクリックします。
有効な割り当てテーブルを使用すると、割り当ての発生元 (割り当てが、継承、グループメンバーシップ、LDAP 検索のどの結果であるか) をトレースできます。
LDAP グループ検索を調整して、LDAP 割り当てに必要なユーザーを返すことができます。このためには、SGD がグループ内のユーザーをどのように識別するかや、SGD が入れ子のグループやサブグループを検索できるかどうかを設定します。
デフォルトでは、LDAP グループ検索は LDAP グループのすぐ下の階層だけを検索します。組織で入れ子のグループまたはサブグループが使用されている場合は、より深い階層に検索範囲を広げることができます。深さの値を大きくすると、パフォーマンスが低下することがあります。より深い階層に LDAP グループ検索の範囲を広げる方法を参照してください。
SGD は、グループオブジェクトでユーザーを検索する前に、グループメンバーシップの LDAP ユーザーオブジェクトで reverse 属性を確認します。reverse 属性とは、ユーザーが属するグループを一覧表示する属性のことです。デフォルトでは、SGD はグループを、ユーザーオブジェクトの isMemberOf、nsroledn、memberOf 属性で検索します。LDAP ディレクトリがほかの reverse 属性を使用してグループメンバーシップを一覧表示している場合は、それらの属性を使用するように SGD を設定できます。LDAP グループの reverse 属性を設定する方法を参照してください。
SGD は、LDAP グループのメンバーを検索するときに、グループオブジェクトの uniquemember、member、および uniqueMember 属性に含まれるユーザーを検索します。LDAP ディレクトリがほかの属性を使用してグループメンバーシップを指定している場合は、それらの属性を使用するように SGD を設定できます。LDAP グループメンバーシップ属性を設定する方法を参照してください。
グループメンバーシップ属性に SGD がユーザーを一意に識別できるだけの十分な情報が含まれていない場合 (たとえば、これらの属性にユーザーの相対識別名しか含まれていない場合) は、グループ検索が失敗します。SGD では、ユーザーの識別に使用できる短縮名属性を 1 つ以上指定できます。ユーザーの短縮名属性の値がそのグループのグループメンバーシップ属性のいずれかに含まれる場合、SGD はそのユーザーをグループのメンバーと見なします。短縮名属性が有効に機能するには、一意の値が含まれている必要があります。LDAP グループ短縮名属性を設定する方法を参照してください。
Administration Console には、ユーザーの識別に使用する属性など、LDAP データの表示に影響を与えるいくつかの設定があります。Administration Console での LDAP の操作が想定したとおりに動作しない場合、設定を調整しなければいけない場合があります。詳細については、Administration Console の設定を参照してください。
LDAP 割り当てに関するの問題の診断に役立てるために、server/webtop ログフィルタを設定して詳細情報を取得してください。ログフィルタの設定については、ログフィルタを使用した SGD サーバーのトラブルシューティングを参照してください。
LDAP ディレクトリの LDAP 検索に失敗した場合のために、LDAP タイムアウトを設定できます。LDAP タイムアウトを参照してください。
SGD は、LDAP ディレクトリから収集したデータをキャッシュします。SGD が変更を検出していない場合は、キャッシュされたデータを手動で消去できます。LDAP キャッシュを参照してください。
LDAP グループ検索によって期待した結果が返されない場合は、LDAP グループ検索を調整するを参照してください。
Copyright © 2008, Sun Microsystems, Inc. All rights reserved