3

ユーザーへのアプリケーションの公開

この章では、組織階層を使用して SGD ユーザーを管理し、アプリケーションへのアクセスを許可する方法について説明します。

この章の内容は、次のとおりです。


組織とオブジェクト

SGD は、ディレクトリサービスの原則に基づいて構築されています。ユーザー、アプリケーション、およびアプリケーションサーバーは、ディレクトリ内のオブジェクトで表現されます。 これらのオブジェクトは、組織を表現する組織階層に構造化されます。

組織階層は、トップレベルのディレクトリオブジェクト (通常は組織オブジェクト) から始まります。ほかのディレクトリオブジェクト (組織単位 (OU) など) は、組織階層を分割するために使用できるコンテナです。グループオブジェクトを作成することができます。グループオブジェクトはコンテナではありません。グループには、組織階層のほかの部分に存在するオブジェクトであるメンバーが含まれています。

また、SGD にも、ユーザー、アプリケーション、およびアプリケーションサーバーを表現するためのさまざまなオブジェクトタイプがあります。

各オブジェクトには、属性と呼ばれるいくつかの設定があります。たとえば、アプリケーションオブジェクトには、ユーザーに表示するアイコンの名前である「アイコン」属性があります。

SGD オブジェクトと、各オブジェクトで使用される属性は、一般的に使用されている LDAP Version 3 スキーマに基づいています。SGD 機能をサポートするために、これらのオブジェクトは標準的な方法を使用して拡張されています。LDAP スキーマの詳細については、RFC 2256を参照してください。

SGD は、ローカルリポジトリを使用して、組織階層内にすべてのオブジェクトを格納します。 各オブジェクトは、属性名を接頭辞として使用することで (たとえば、ou=Sales)、同じコンテナ内のほかのオブジェクトから区別されます。この属性は、名前属性または相対識別名 (RDN) と呼ばれます。同じコンテナ内の 2 つのオブジェクトが同じ RDN を持つことはできません。階層のトップレベルからのすべての RDN を含むオブジェクトの完全な名前が識別名 (DN) (たとえば、o=Indigo Insurance/ou=Sales) です。DN は、オブジェクトを一意に識別する名前です。次の表に、オブジェクトと、その RDN および DN の例をいくつか示します。


オブジェクトタイプ 相対識別名 識別名
組織 o=Indigo Insurance o=Indigo Insurance
OU ou=Sales o=Indigo Insurance/ou=Sales
ユーザープロファイル cn=Violet Carson o=Indigo Insurance/ou=Sales/cn=Violet Carson
ユーザープロファイル cn=Elizabeth Blue o=Indigo Insurance/ou=Sales/cn=Elizabeth Blue

オブジェクト間の関係は重要です。たとえば、ユーザーにアプリケーションを配備するには、ユーザープロファイルオブジェクトをアプリケーションオブジェクトに関連付けます。SGD では、これらの関係を割り当てと呼びます。 割り当てについては、アプリケーションの公開でさらに詳しく説明します。

階層とオブジェクトの詳細については、以降の節を参照してください。

組織階層

SGD は、ユーザー、アプリケーション、アプリケーションサーバーの各組織階層と、SGD が使用するオブジェクトが含まれたシステムオブジェクト階層の 4 つの組織階層を使用します。Administration Console では、次のタブを使用してこれらの組織階層を管理します。

以降のセクションでは、これらのタブ、そのタブに含めることのできるオブジェクト、およびその使用方法について説明します。また、システムオブジェクト組織についても説明します。

コマンド行では、tarantella object コマンドを使用して組織階層を管理します。また、このコマンドでは、バッチスクリプトを使用して組織階層を移植することもできます。バッチスクリプトを使用した SGD 組織階層の移植を参照してください。

「ユーザープロファイル」タブ

Administration Console の「ユーザープロファイル」タブでは、SGD ユーザーを管理するためのオブジェクトを作成して設定します。このタブにあるオブジェクトを使用して、ユーザーの SGD 関連の設定や、ユーザーが SGD を介してアクセスできるアプリケーションを制御します。

デフォルトでは、このタブには、o=organization と呼ばれる組織オブジェクトと、dc=com と呼ばれるドメインコンポーネントオブジェクトの 2 つのオブジェクトが含まれています。これらは、組織階層内のトップレベルのオブジェクトです。これらのオブジェクトの名前変更や削除、または新しいトップレベルのオブジェクトの作成を行うことができます。ユーザーの管理に必要なオブジェクトはすべて、これらのトップレベルのオブジェクト内で作成します。

「ユーザープロファイル」タブで使用可能な SGD オブジェクトタイプを次に示します。

「アプリケーション」タブ

Administration Console の「アプリケーション」タブでは、ユーザーが SGD を介してアクセスできるアプリケーションやドキュメントを表現するオブジェクトを作成して設定します。これらのオブジェクトは常に、アプリケーション組織内で作成されます。コマンド行では、この組織は o=applications と呼ばれます。

「アプリケーション」タブで使用可能な SGD オブジェクトタイプを次に示します。

「アプリケーションサーバー」タブ

Administration Console の「アプリケーションサーバー」タブでは、SGD を介して表示されたアプリケーションを実行するアプリケーションサーバーを管理するためのオブジェクトを作成して設定します。これらのオブジェクトは常に、アプリケーションサーバー組織内で作成されます。コマンド行では、この組織は o=appservers と呼ばれます。

「アプリケーションサーバー」タブで使用可能な SGD オブジェクトタイプを次に示します。

システムオブジェクト組織

システムオブジェクト組織には、SGD の運用と保守に不可欠なオブジェクトが格納されています。コマンド行では、システムオブジェクト組織は o=Tarantella System Objects として表示されます。

システムオブジェクト組織には、「Global Administrators」ロールオブジェクトが含まれています。このオブジェクトによって、だれが SGD 管理者であり、だれが SGD グラフィカル管理ツールを使用できるかが決定されます。SGD 管理者を参照してください。

システムオブジェクト組織にはまた、プロファイルオブジェクトも含まれています。これらのオブジェクトは、SGD でサポートされている各種の認証機構で使用されるデフォルトのユーザープロファイルオブジェクトです。たとえば、LDAP または Active Directory 認証を使用している場合は、プロファイルオブジェクト System Objects/LDAP Profile がデフォルトのユーザープロファイルです。

システムオブジェクト組織内のオブジェクトを編集することは可能ですが、オブジェクトを作成、移動、削除したり、名前を変更したりすることはできません。

SGD オブジェクトタイプ

ここでは、使用可能な SGD オブジェクトタイプとその使用方法について説明します。

ユーザー、アプリケーション、およびアプリケーションサーバーを編成するために使用されるオブジェクトタイプを次に示します。

ユーザー、アプリケーション、およびアプリケーションサーバーを表現するために使用されるオブジェクトタイプを次に示します。

ディレクトリオブジェクト: 組織

組織オブジェクトであるディレクトリオブジェクトは、組織全体に適用する設定のために使用されます。組織オブジェクトは常に、組織階層のトップレベルにあり、OU オブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。

コマンド行では、tarantella object new_org コマンドを使用して組織オブジェクトを作成します。

組織オブジェクトには、「o=」名前属性を指定します。

ディレクトリ (軽量) オブジェクト ドメインコンポーネント

ドメインコンポーネントオブジェクトであるディレクトリ (軽量) オブジェクトは、ディレクトリ構造 (通常は Microsoft Active Directory 構造) を SGD 組織階層内に複製するために使用されます。ドメインコンポーネントオブジェクトは組織オブジェクトに似ていますが、追加の SGD 固有属性が含まれていないか、ユーザーがアプリケーションを割り当てることができません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。

ドメインコンポーネントオブジェクトが表示されるのは、組織階層のトップレベルか、別のドメインコンポーネントオブジェクト内に限られます。ドメインコンポーネントオブジェクトには、OU オブジェクト、ドメインコンポーネントオブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。

コマンド行では、tarantella object new_dc コマンドを使用してドメインコンポーネントオブジェクトを作成します。

ドメインコンポーネントオブジェクトには、「dc=」名前属性を指定します。

ディレクトリオブジェクト: 組織単位

OU オブジェクトであるディレクトリオブジェクトは、ユーザー、アプリケーション、およびアプリケーションサーバーを各部門、サイト、またはチームに分割するために使用されます。

OU は、組織オブジェクトまたはドメインコンポーネントオブジェクトに含めることができます。

コマンド行では、tarantella object new_orgunit コマンドを使用してディレクトリオブジェクトを作成します。

ディレクトリオブジェクトには、「ou=」名前属性を指定します。

ディレクトリ (軽量) オブジェクト: Active Directory コンテナ

Active Directory コンテナオブジェクトは、Microsoft Active Directory 構造を SGD 組織階層内に複製するために使用されます。

Active Directory コンテナオブジェクトは OU に似ていますが、SGD 固有の属性は含まれていません。また、アプリケーションを割り当てることもできません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。

Active Directory コンテナオブジェクトは、組織オブジェクト、OU オブジェクト、またはドメインコンポーネントオブジェクトに含めることができます。

コマンド行では、tarantella object new_container コマンドを使用して Active Directory コンテナオブジェクトを作成します。

Active Directory コンテナオブジェクトには、「cn=」名前属性を指定します。

ユーザープロファイルオブジェクト

ユーザープロファイルオブジェクトは、組織内のユーザーを表現し、そのユーザーがアプリケーションにアクセスできるようにするために使用されます。また、ユーザーに関連付けられた SGD 設定も定義します。

SGD がユーザープロファイルオブジェクトをユーザーに関連付ける方法は、使用されている認証機構によって異なります。認証機構によっては、ユーザープロファイルオブジェクトを作成する必要がまったくない場合もあります。詳細については、Secure Global Desktop 認証を参照してください。

コマンド行では、tarantella object new_person コマンドを使用してユーザープロファイルオブジェクトを作成します。

ユーザープロファイルオブジェクトには、「cn= (共通名)」、「uid= (ユーザー識別情報)」、または「mail= (電子メールアドレス)」名前属性を指定できます。

グループオブジェクト

グループオブジェクトは、アプリケーションのグループを「ユーザープロファイル」タブのオブジェクトに関連付けたり、アプリケーションサーバーのグループを「アプリケーション」タブのオブジェクトに関連付けたりするために使用されます。

グループオブジェクトはディレクトリオブジェクトと同じではありません。アプリケーションまたはアプリケーションサーバーは、1 つのディレクトリにしか所属できませんが、さまざまなグループのメンバーになることができます。

グループのメンバーにすることができるのは、アプリケーション、アプリケーションサーバー、またはその他のグループです。グループは、グループメンバーシップに影響を与えずに、移動したり、名前を変更したりできます。

アプリケーションサーバーオブジェクトのグループを使用すると、負荷分散のために、類似したアプリケーションサーバーを関連付けることができます。詳細については、負荷分散を参照してください。

コマンド行では、tarantella object new_group コマンドを使用してグループオブジェクトを作成します。

グループオブジェクトには、「cn=」名前属性を指定します。

Windows アプリケーションオブジェクト

Windows アプリケーションオブジェクトは、ユーザーに Microsoft Windows グラフィカルアプリケーションを提供するために使用されます。詳細については、Windows アプリケーションを参照してください。

コマンド行では、tarantella object new_windowsapp コマンドを使用して Windows アプリケーションオブジェクトを作成します。

Windows アプリケーションオブジェクトには、「cn=」名前属性を指定します。

X アプリケーションオブジェクト

X アプリケーションオブジェクトは、ユーザーに X11 グラフィカルアプリケーションを提供するために使用されます。詳細については、X アプリケーションを参照してください。

コマンド行では、tarantella object new_xapp コマンドを使用して X アプリケーションオブジェクトを作成します。

X アプリケーションオブジェクトには、「cn=」名前属性を指定します。

文字型アプリケーションオブジェクト

文字型アプリケーションオブジェクトは、ユーザーに VT420、Wyse 60、または SCO コンソールの文字型アプリケーションを提供するために使用されます。詳細については、文字型アプリケーションを参照してください。

コマンド行では、tarantella object new_charapp コマンドを使用して文字型アプリケーションオブジェクトを作成します。

文字型アプリケーションオブジェクトには、「cn=」名前属性を指定します。

ドキュメントオブジェクト

ドキュメントオブジェクトは、ユーザーにドキュメントを提供するために使用されます。ドキュメントオブジェクトは、任意の URL (Uniform Resource Locator) を参照できます。

コマンド行では、tarantella object new_doc コマンドを使用してドキュメントオブジェクトを作成します。

ドキュメントオブジェクトには、「cn=」名前属性を指定します。

3270 アプリケーションオブジェクト

3270 アプリケーションオブジェクトは、ユーザーに 3270 (メインフレーム) アプリケーションを提供するために使用されます。

コマンド行では、tarantella object new_3270app コマンドを使用して 3270 アプリケーションオブジェクトを作成します。

3270 アプリケーションオブジェクトには、「cn=」名前属性を指定します。

5250 アプリケーションオブジェクト

5250 アプリケーションオブジェクトは、ユーザーに 5250 (AS/400) アプリケーションを提供するために使用されます。

コマンド行では、tarantella object new_5250app コマンドを使用して 5250 アプリケーションオブジェクトを作成します。

5250 アプリケーションオブジェクトには、「cn=」名前属性を指定します。

アプリケーションサーバーオブジェクト

アプリケーションサーバーオブジェクトは、SGD を介してアプリケーションを実行するために使用されるアプリケーションサーバーを表現するために使用されます。

アプリケーションサーバーは負荷分散で使用されます。2 つ以上のアプリケーションサーバーオブジェクトを 1 つのアプリケーションオブジェクトに割り当てる場合、SGD では、すべてのアプリケーションサーバーにおける負荷に基づいて、使用するアプリケーションサーバーが選択されます。詳細については、負荷分散を参照してください。

コマンド行では、tarantella object new_host コマンドを使用してアプリケーションサーバーオブジェクトを作成します。アプリケーションサーバーオブジェクトには、「cn=」名前属性を指定します。

組織階層の設計

組織階層をモデル化するために作成するオブジェクトを完全に制御できます。ただし、組織階層を実装する前に、その組織階層を設計してテストすることが重要です。設計に影響する要素としては、次のものがあります。

組織階層内のオブジェクトへの命名

Administration Console でオブジェクトを作成する際、オブジェクトの名前には、バックスラッシュ (\) とプラス (+) を除く任意の文字を使用できます。

コマンド行で、オブジェクト名の中でスラッシュを使用するときは、バックスラッシュでエスケープ処理を行う必要があります。SGD では、スラッシュが組織階層の一部分として解釈されるためです。たとえば、ユーザーが o=organization の下位に cn=a/b という相対名のオブジェクトを作成しようとすると、SGD は o=organization/cn=a の内部に b というオブジェクトを作成しようとします。実際には o=organization/cn=a というオブジェクトは存在しないため、エラーが発生します。この名前のオブジェクトを作成するには、cn=ab と入力します。

空白文字を含むオブジェクト名をコマンド行で使用する場合は、名前を引用符で囲みます (たとえば、".../_ens/o=Indigo Insurance")。

コマンド行でのオブジェクト名の付け方は、オブジェクトが SGD データストアのどの部分から生じているかによって異なります。

たとえば、ローカルリポジトリ内のオブジェクトには、次の名前を指定できます。

.../_ens/o=Indigo Insurance/ou=Marketing/cn=Cust-o-Dat

ローカルリポジトリ内のオブジェクトでは、名前の .../_ens 部分はオプションです。次のように入力することもできます。

o=Indigo Insurance/ou=Marketing/cn=Cust-o-Dat

LDAP ディレクトリに格納されているオブジェクトには、次の名前を指定できます。

.../_service/sco/tta/ldapcache/cn=Cust-o-Dat,ou=Marketing,o=Indigo Insurance

ネットワーク上のサーバーには、次の名前を指定できます。

.../_dns/verona.indigo-insurance.com

tarantella object コマンドでは、ローカルリポジトリ内の名前はすべて、大文字と小文字が区別されません。オブジェクトの作成や名前の変更を行う際は、使用される大文字と小文字の区別が保持されます。ただし、tarantella webtopsession コマンドや tarantella emulatorsession コマンドなどのその他のコマンドでは、大文字と小文字が区別されます。

バッチスクリプトを使用した SGD 組織階層の移植

多数のオブジェクトを含む組織階層を移植する場合、Administration Console を使用してこれを行うのはあまり効率的ではありません。この問題を解決するには、tarantella object コマンドのバッチスクリプト処理機能を使用します。

SGD 組織階層の構造を設計したら、必要なオブジェクトのタイプごとにファイルを作成します。各ファイルには、適切な tarantella object コマンドからオブジェクトを作成するための正しい構文で、オブジェクトごとに 1 行を記述します。たとえば、5 つの OU を作成するには、orgunits.txt というファイルに次のような行を記述します。


--name "o=Indigo Insurance/ou=IT" \
--name "o=Indigo Insurance/ou=Sales" \
--name "o=Indigo Insurance/ou=Marketing" \
--name "o=Indigo Insurance/ou=Finance" \
--name "o=Indigo Insurance/ou=Finance/ou=Administration"

各行の一部として、実際の tarantella object コマンド名 (たとえば、object new_orgunit) を指定しないでください。

次のことに留意してください。

すべてのファイルを作成し終えたら、tarantella object script コマンドを使用してすべてのファイルを一度に処理します。次に例を示します。


#!/bin/sh
tarantella object script << EOF
new_orgunit --file orgunits.txt
new_group --file groups.txt
new_host --file hosts.txt
new_person --file people.txt
new_xapp --file xapps.txt
new_windowsapp --file windowsapps.txt
new_charapp --file charapps.txt
EOF

tarantella object script コマンドによって、各コマンドが順番に実行されます。指定したファイルが各コマンドによって読み込まれ、処理されます。

tarantella object script コマンドでは、任意の tarantella object サブコマンドを一緒に使用できます。他のファイルからオブジェクトの詳細を読み込む必要はありません。

たとえば、tarantella passcache コマンドなど、ほかの多くのコマンドで --file 引数を使用できるため、関連する複数のアクションを一度に実行できます。

LDAP ミラー化

ユーザーが LDAP 認証、Active Directory 認証、または LDAP 検索を使用したサードパーティー認証のいずれかによって認証されている場合、SGD はローカルリポジトリを検索してユーザーのユーザープロファイルを確立します。これによって、LDAP と SGD の命名体系の違いに対応できます。SGD は、一致するものが見つかるまで次の検索を行います。

一致するものが見つからない場合は、プロファイルオブジェクト System Objects/LDAP Profile がユーザープロファイルとして使用されます。

通常、LDAP ユーザーおよび Active Directory ユーザーはデフォルトの LDAP プロファイルを使用し、アプリケーションとドキュメントは LDAP 割り当てを使用してこれらのユーザーに割り当てられます。LDAP 割り当てを参照してください。ただし、ユーザープロファイルオブジェクトを使用して、コピー&ペーストを使用する機能やクライアントプロファイルを編集する機能など、ユーザーの SGD 固有の設定を制御することもできます。LDAP または Active Directory ユーザーの SGD 設定をカスタマイズする場合は、LDAP 組織の一部をローカルリポジトリにミラー化しなければいけないことがあります。

LDAP 組織をミラー化するときは、次のことに留意してください。

LDAP 認証、または LDAP 検索を使用したサードパーティー認証を設定する場合は、1 つ以上の LDAP URL を指定します。LDAP URL には検索ルートを含めることができます。LDAP URL に検索ルートを指定した場合、その検索ルートは、ローカルリポジトリにミラー化する必要のあるオブジェクトの開始位置として使用されます。

Administration Console で LDAP ミラー化を操作する場合は、操作するオブジェクトの名前属性を表示すると役立ちます。デフォルトでは、Administration Console に名前属性は表示されません。名前属性の表示は、Administration Console の「設定」で有効にします。

Administration Console でユーザープロファイルを操作する場合は、「ユーザープロファイル」タブの「リポジトリ」リストから「ローカル + LDAP」を選択します。ローカルリポジトリにミラー化された LDAP オブジェクトは、次のアイコンで示されます。

ミラー化された LDAP オブジェクトシンボルのスクリーンショット

次に挙げるのは、LDAP 組織をミラー化して、ユーザーに異なる SGD 設定を行う方法を示した例です。

LDAP ミラー化の例

Indigo Insurance には、IT、Sales、Marketing、Finance、Administration の 5 つの部門があります。Finance 部門と Marketing 部門には、ほかの部門とは異なる SGD 設定が必要です。Finance 部門の Sid Cerise には、Finance 部門のほかのユーザーとは異なる SGD 設定が必要です。

作成するオブジェクトは、使用している LDAP ディレクトリサーバーの種類に依存します。これについては次の節で説明します。

Sun Java System Directory Server

Sun Java System Directory Server で、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と、使用するオブジェクトタイプは次のとおりです。

  • o=indigo-insurance.com

    組織オブジェクトを使用します。

  • ou=Finance,o=indigo-insurance.com

    OU オブジェクトを使用します。

  • ou=Marketing,o=indigo-insurance.com

    OU オブジェクトを使用します。



注 - Administration Console で、ディレクトリオブジェクトを作成します。名前属性は自動的に設定されます。



図 3-1 は、Administration Console でミラー化されたオブジェクトを示しています。

図 3-1   Sun Java System Directory Server のミラー化された LDAP オブジェクトの例

Sun Java System Directory Server を使用時の Administration
Console でミラー化された LDAP オブジェクトを示すスクリーンショット


この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。

  • o=indigo-insurance.com/ou=Finance/cn=LDAP Profile

  • o=indigo-insurance.com/ou=Marketing/cn=LDAP Profile

  • o=indigo-insurance.com/ou=Finance/uid=Sid Cerise



注 - Administration Console では、ユーザープロファイルオブジェクト o=indigo-insurance.com/ou=Finance/uid=Sid Cerise の名前属性として uid を必ず選択してください。



この組織階層では、ユーザーの設定は次のようになります。

  • Sid Cerise の設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。

    o=indigo-insurance.com/ou=Finance/uid=Sid Cerise

  • Finance 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。

    o=indigo-insurance.com/ou=Finance/cn=LDAP Profile

  • Marketing 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。

    o=indigo-insurance.com/ou=Marketing/cn=LDAP Profile

  • ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile で定義されたものになります。

Microsoft Active Directory

Microsoft Active Directory では、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と使用するオブジェクトのタイプは次のとおりです。

  • dc=indigo-insurance,dc=com

    ドメインコンポーネントオブジェクトを使用します。

  • cn=Finance,dc=indigo-insurance,dc=com

    Active Directory コンテナオブジェクトを使用します。

  • cn=Marketing,dc=indigo-insurance,dc=com

    Active Directory コンテナオブジェクトを使用します。



注 - Administration Console では、ディレクトリ (軽量) オブジェクトを作成してから、正しい名前属性を選択することによってドメインコンポーネントと Active Directory コンテナを作成します。



図 3-2 は、Administration Console でミラー化されたオブジェクトを示しています。

図 3-2   Microsoft Active Directory のミラー化された LDAP オブジェクトの例

Microsoft Active Directory を使用時の Administration
Console でミラー化された LDAP オブジェクトを示すスクリーンショット


この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。

  • dc=com/dc=indigo-insurance/cn=Finance/cn=LDAP Profile

  • dc=com/dc=indigo-insurance/cn=Marketing/cn=LDAP Profile

  • dc=com/dc=indigo-insurance/cn=Finance/cn=Sid Cerise

この組織階層では、ユーザーの設定は次のようになります。

  • Sid Cerise の設定は、次のユーザープロファイルオブジェクトで定義されたものになります。

    o=indigo-insurance.com/cn=Finance/cn=Sid Cerise

  • Finance 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになります。

    o=indigo-insurance.com/ou=Finance/cn=LDAP Profile.

  • Marketing 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになります。

    o=indigo-insurance.com/ou=Marketing/cn=LDAP Profile.

  • ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile で定義されたものになります。



注 - SGD 設定をドメインコンポーネントおよび Active Directory コンテナオブジェクトから継承することはできません。



SGD 管理者

SGD では、管理者特権は、システムオブジェクト組織内の「Global Administrators」ロールオブジェクトを使用して管理されます。

「Global Administrators」ロールオブジェクトには、メンバーのリストと、割り当て済みアプリケーションのリストが含まれています。SGD 管理者はすべて、「Global Administrators」ロールオブジェクトのメンバーとして定義されます。割り当て済みアプリケーションのリストは、SGD 管理者に管理ツールを割り当てるために使用されます。SGD 管理者には、割り当てられているほかのすべてのアプリケーションに加えて、これらのアプリケーションが割り当てられます。

SGD グラフィカル管理ツール、Administration Console、および Profile Editor を使用して SGD を設定できるのは SGD 管理者だけです。SGD コマンド行ツールを使用するためには、次の条件が適用されます。

ユーザーを ttaserv グループのメンバーにするには、usermod -G コマンドを使用します。ttaserv グループは、ユーザーのプライマリグループまたは実効グループでなくてもかまいません。

SGD Administration Console または tarantella role コマンドを使用して、SGD 管理者を追加または削除できます。

「Global Administrators」ロールオブジェクトのメンバーとしてユーザープロファイルオブジェクトが定義されていない場合は、UNIX または Linux システムの root ユーザーに管理者特権が付与されます。



注 - LDAP ディレクトリまたは Active Directory 認証を使用して SGD 管理者を認証する場合は、SGD 管理者のユーザープロファイルを作成する必要があります。詳細については、LDAP ミラー化を参照してください。



procedure icon  SGD 管理者を追加する方法

  1. Administration Console で、「ユーザープロファイル」タブに移動します。

  2. 「Global Administrators」ロールオブジェクトを選択します。

    1. ナビゲーションツリーで、「システムオブジェクト」をクリックします。

      「システムオブジェクト」テーブルが表示されます。

    2. 「システムオブジェクト」テーブルで、「Global Administrators」ロールオブジェクトをクリックします。

      「メンバー」タブが表示されます。

  3. 「メンバー」タブにユーザープロファイルオブジェクトを追加します。

    1. 「編集可能なメンバー」テーブルの「追加」をクリックします。

      「ユーザー割り当ての追加」ウィンドウが表示されます。

    2. ユーザープロファイルオブジェクトを検索します。

      「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。

    3. ユーザープロファイルオブジェクトの横にあるチェックボックスを選択します。

      複数の SGD 管理者を追加するには、複数のユーザープロファイルオブジェクトを選択します。

    4. 「割り当ての追加」をクリックします。

      「メンバー」タブが表示され、選択されているユーザープロファイルオブジェクトが示されます。



    ヒント - tarantella role add_member --role global --member pobj コマンドも使用できます。



procedure icon  SGD 管理者を削除する方法

  1. Administration Console で、「ユーザープロファイル」タブに移動します。

  2. 「Global Administrators」ロールオブジェクトを選択します。

    1. ナビゲーションツリーで、「システムオブジェクト」をクリックします。

      「システムオブジェクト」テーブルが表示されます。

    2. 「システムオブジェクト」テーブルで、「Global Administrators」ロールオブジェクトをクリックします。

      「メンバー」タブが表示されます。

  3. 「メンバー」タブからユーザープロファイルオブジェクトを削除します。

    1. 「編集可能なメンバー」テーブルで、ユーザープロファイルオブジェクトの横にあるチェックボックスを選択します。

      複数の SGD 管理者を削除するには、複数のユーザープロファイルオブジェクトを選択します。

    2. 「削除」をクリックします。

      警告メッセージが表示されます。

    3. 「OK」をクリックします。

      「メンバー」タブが表示されます。



    ヒント - tarantella role remove_member --role global --member pobj コマンドも使用できます。




アプリケーションの公開

組織内のアプリケーション、アプリケーションサーバー、およびユーザーを表現するオブジェクトを作成しても、それだけでユーザーが SGD を介してアプリケーションにアクセスできるわけではありません。アプリケーションを公開する必要があります。アプリケーションは、組織階層内のオブジェクト間の関係を作成することによって公開します。SGD では、これらの関係を割り当てと呼びます。アプリケーションを公開するには、次の手順を実行します。

割り当てには、次の種類があります。

アプリケーションサーバーへのアプリケーションの割り当ては、ローカル割り当てを使用して実行されます。

ユーザーへのアプリケーションの割り当ては、ローカル割り当て、LDAP 割り当て、またはその両方の組み合わせを使用して実行されます。

Administration Console には、割り当てを確認するためのいくつかの方法が用意されています。割り当ての確認を参照してください。

ローカル割り当て

ローカル割り当ては、ローカルリポジトリ内のオブジェクト間の関係です。

Administration Console の「アプリケーション」タブで、次のようにアプリケーションを割り当てます。

SGD は、ローカル割り当てをより管理しやすく、より効率的にするために継承を使用しています。OU およびユーザープロファイルオブジェクトは、組織階層内の親オブジェクトの割り当てや設定を継承できます。継承は、デフォルトで有効になっています。継承を使用するには、OU オブジェクト内にユーザープロファイルオブジェクトを作成し、それらの OU にアプリケーションを割り当てます。

Administration Console には、割り当てを確認するためのいくつかの方法が用意されています。割り当ての確認を参照してください。

procedure icon  アプリケーションにアプリケーションサーバーを割り当てる方法

  1. Administration Console で、「アプリケーション」タブに移動し、アプリケーションオブジェクトまたはグループオブジェクトを選択します。

    アプリケーションのグループを選択した場合は、そのグループ内のすべてのアプリケーションにアプリケーションサーバーを割り当てることができます。

    「一般」タブが表示されます。

  2. 「ホストしているアプリケーションサーバー」タブに移動します。

  3. 「編集可能な割り当て」テーブルの「追加」をクリックします。

    「アプリケーションサーバー割り当ての追加」ウィンドウが表示されます。

  4. アプリケーションサーバーまたはグループオブジェクトを検索します。

    「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。

  5. アプリケーションサーバーまたはグループオブジェクトの横にあるチェックボックスを選択し、「追加」をクリックします。

    複数のアプリケーションサーバーまたはアプリケーションサーバーのグループを選択した場合は、SGD によって、アプリケーションサーバー間の負荷分散が行われます。負荷分散を参照してください。

    アプリケーションサーバーのグループを選択した場合は、そのグループ内のすべてのアプリケーションサーバーが選択されます。

    「有効なアプリケーションサーバー」テーブルが、選択したアプリケーションサーバーで更新されます。

procedure icon  ユーザーにアプリケーションを割り当てる方法

  1. Administration Console で、「アプリケーション」タブに移動し、アプリケーションオブジェクトまたはグループオブジェクトを選択します。

    アプリケーションのグループを選択した場合は、ユーザーにそのグループ内のすべてのアプリケーションを割り当てることができます。

    「一般」タブが表示されます。

  2. 「割り当て済みのユーザープロファイル」タブをクリックします。

  3. 「編集可能な割り当て」テーブルの「追加」をクリックします。

    「ユーザー割り当ての追加」ウィンドウが表示されます。

  4. ユーザープロファイルまたはディレクトリオブジェクトを検索します。

    「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。

    アプリケーションは、ユーザープロファイルまたはディレクトリオブジェクトに割り当てることができます。

    アプリケーションをディレクトリオブジェクトに割り当てた場合は、そのディレクトリオブジェクトに含まれるすべてのユーザープロファイルが自動的にそのアプリケーションを受け取ります。これは、継承と呼ばれます。アプリケーションをディレクトリオブジェクトに割り当てると、より効率的です。

  5. ユーザープロファイルまたはディレクトリオブジェクトの横にあるチェックボックスを選択し、「追加」をクリックします。

    「有効なユーザープロファイル」テーブルが、選択したユーザーで更新されます。

LDAP 割り当て

LDAP 割り当てでは、SGD の Directory Services Integration 機能を使用します。Directory Services Integration では、ローカルリポジトリの代わりに LDAP ディレクトリを使用してユーザー情報を管理します。つまり、ローカルリポジトリにユーザープロファイルオブジェクトを作成する必要はありません。

Directory Services Integration は、LDAP ディレクトリを検索することによってユーザーの識別情報が確立されているユーザーに対してのみ使用できます。つまり、ユーザーは次の認証機構のいずれかによって認証される必要があります。

LDAP 割り当ては、SGD リポジトリ内のオブジェクトと LDAP ディレクトリ内のオブジェクトの間の関係です。LDAP 割り当てでは、ユーザーにアプリケーションを割り当てるのではなく、アプリケーションにユーザーを割り当てます。Administration Console では、アプリケーション、ドキュメント、およびグループオブジェクトの「割り当て済みのユーザープロファイル」タブでこれを行います。次のようにしてユーザーの割り当てを実行できます。



caution icon

注意 - LDAP 割り当てを使用するときには、LDAP ディレクトリサーバーとの間で多数のトラフィックが往復することになります。このため、大量のネットワークトラフィックが生成され、パフォーマンスが低下する可能性があります。LDAP 検索を使用すると、LDAP ユーザーやグループを使用する場合よりも効率的かつ柔軟です。LDAP ユーザーやグループは、できるだけ使用しないようにしてください。



Administration Console で LDAP 割り当てを操作する場合は、操作するオブジェクトの名前属性を表示すると役立ちます。デフォルトでは、Administration Console に名前属性は表示されません。名前属性の表示は、Administration Console の「設定」で有効にします。

コピー&ペーストを使用する機能や、クライアントプロファイルを編集する機能など、LDAP ユーザーに対する SGD 固有の設定をより詳細に管理する場合は、LDAP ミラー化を参照してください。

Administration Console には、LDAP 割り当てを使用して、どのユーザーがアプリケーションを受け取るように設定されているかが表示されます。割り当ての確認を参照してください。

LDAP 割り当ての操作に関するヒントについては、LDAP 割り当てのトラブルシューティングを参照してください。

procedure icon  LDAP ユーザーにアプリケーションを割り当てる方法

  1. SGD Administration Console で、「アプリケーション」タブに移動します。

  2. アプリケーションまたはグループオブジェクトを選択し、「割り当て済みのユーザープロファイル」タブに移動します。

    「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。

    グループオブジェクトを選択した場合は、LDAP ユーザーはそのグループ内のすべてのアプリケーションを受け取ります。

  3. 「編集可能な割り当て」テーブルの「追加」ボタンをクリックします。

    「ユーザー割り当ての追加」ウィンドウが表示されます。

  4. 「リポジトリ」のリストから、「ローカル + LDAP」を選択します。

  5. オブジェクトに割り当てる LDAP ユーザーを検索します。

    「検索」フィールドまたはナビゲーションツリーを使用して、LDAP ディレクトリ内のユーザーを検索します。

  6. LDAP ユーザーの横にあるチェックボックスを選択し、「追加」ボタンをクリックします。

    オブジェクトに複数の LDAP ユーザーを割り当てる場合は、LDAP 検索を使用する方が効率的です。



    ヒント - コマンド行では、--ldapusers オプションを使用して LDAP ユーザーを割り当てることができます。



    「ユーザー割り当ての追加」ウィンドウが閉じ、「編集可能な割り当て」テーブルが LDAP ユーザーで更新されます。

procedure icon  LDAP グループのメンバーにアプリケーションを割り当てる方法

  1. Administration Console で、「アプリケーション」タブに移動します。

  2. アプリケーション、ドキュメント、またはグループオブジェクトを選択し、「割り当て済みのユーザープロファイル」タブに移動します。

    「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。

    グループオブジェクトを選択した場合は、LDAP グループのすべてのメンバーが、そのグループ内のすべてのアプリケーションを受け取ります。

  3. 「編集可能な割り当て」テーブルの「追加」ボタンをクリックします。

    「ユーザー割り当ての追加」ウィンドウが表示されます。

  4. 「リポジトリ」のリストから、「ローカル + LDAP」を選択します。

  5. オブジェクトに割り当てる LDAP グループを検索します。

    「検索」フィールドまたはナビゲーションツリーを使用して、LDAP ディレクトリ内のグループを検索します。

  6. LDAP グループの横にあるチェックボックスを選択し、「追加」ボタンをクリックします。

    複数のグループをオブジェクトに割り当てる場合は、LDAP 検索を使用する方が効率的です。



    ヒント - コマンド行では、--ldapgroups オプションを使用して LDAP グループのメンバーを割り当てることができます。



    「ユーザー割り当ての追加」ウィンドウが閉じ、「編集可能な割り当て」テーブルが LDAP グループで更新されます。

procedure icon  LDAP 検索を使用してアプリケーションを割り当てる方法

  1. Administration Console で、「アプリケーション」タブに移動します。

  2. アプリケーション、ドキュメント、またはグループオブジェクトを選択し、「割り当て済みのユーザープロファイル」タブに移動します。

  3. 「LDAP 検索」領域で、LDAP 検索を設定します。

    次のいずれかを実行します。

    • 「簡易検索」オプションを選択し、LDAP クエリービルダーを使用して LDAP 検索を構成します。

    • 「詳細検索」オプションを選択し、「LDAP URL またはフィルタ」フィールドに LDAP 検索文字列を入力します。

    詳細については、LDAP 検索の使用を参照してください。

    設定した検索によって期待した結果が返されるかどうかを確認するには、「プレビュー」ボタンをクリックします。



    ヒント - コマンド行では、--ldapsearch オプションを使用して LDAP 検索を設定できます。



  4. 「保存」をクリックします。

LDAP 検索の使用

LDAP 検索は、次のいずれかにすることができます。

LDAP 検索の設定として、Administration Console には「簡易検索」と「詳細検索」が用意されています。

LDAP 検索を設定するときは、「プレビュー」ボタンを使用して、検索によって期待した結果が返されることを確認します。

「簡易検索」の使用

「簡易検索」では、次の一般的に使用されている LDAP と Active Directory 属性を使用して LDAP 検索を構成できます。


属性名 説明
c 2 文字の ISO 3166 国コードを含む countryName 属性。
cn オブジェクトの名前を含む commonName 属性。人物オブジェクトの場合、通常はその人のフルネームになります。
departmentNumber 部門のコードを含む属性。このコードには、数字または英数字を指定できます。
l 都市や国などの地域名を含む localityName 属性。
memberOf Active Directory のユーザーを管理するために一般的に使用される属性。ユーザーが所属するグループのリストが含まれています。
ou 組織単位の名前を含む organizationalUnitName 属性。
sn 人物の姓を含む surname 属性。

また、検索ルートを選択することもできます。指定した検索ルートは、SGD 認証機構のために設定された検索ルートの代わりに使用されます。検索ルートを指定した場合、検索は LDAP URL としてフォーマットされます。検索ルートを指定しなかった場合、検索は LDAP フィルタとしてフォーマットされます。

「簡易検索」を保存すると、検索文字列が「詳細検索」フィールドに表示されます。

「詳細検索」の使用

「詳細検索」フィールドを使用すると、ユーザー独自の LDAP 検索フィルタまたは URL を入力したり、別のツールから検索にペーストしたりできます。

LDAP URL を入力する場合は、ldap:///search の形式を使用します。URL に指定したホスト、ポート、および戻り値の属性は無視されます。

「簡易検索」を使用すると、基本的な検索を構成してそれを保存できます。これによって簡易検索が「詳細検索」フィールドに読み込まれます。そして「詳細検索」オプションを選択し、検索を微調整します。



注 - 「詳細検索」フィールドで「簡易検索」を微調整し、「簡易検索」と互換性のない方法で編集すると、再度「簡易検索」として検索を編集することができなくなる場合があります。このようになった場合は、「詳細検索」フィールドをクリアして変更を保存する必要があります。次に「簡易検索」を再構築します。



割り当ての確認

Administration Console を使用すると、次のように割り当てを確認できます。

デフォルトでは、LDAP 割り当ては表示されません。LDAP 割り当てを表示するには、有効な割り当てテーブルにある「LDAP のロード」リンクをクリックします。

有効な割り当てテーブルを使用すると、割り当ての発生元 (割り当てが、継承、グループメンバーシップ、LDAP 検索のどの結果であるか) をトレースできます。

LDAP グループ検索を調整する

LDAP グループ検索を調整して、LDAP 割り当てに必要なユーザーを返すことができます。このためには、SGD がグループ内のユーザーをどのように識別するかや、SGD が入れ子のグループやサブグループを検索できるかどうかを設定します。

デフォルトでは、LDAP グループ検索は LDAP グループのすぐ下の階層だけを検索します。組織で入れ子のグループまたはサブグループが使用されている場合は、より深い階層に検索範囲を広げることができます。深さの値を大きくすると、パフォーマンスが低下することがあります。より深い階層に LDAP グループ検索の範囲を広げる方法を参照してください。

SGD は、グループオブジェクトでユーザーを検索する前に、グループメンバーシップの LDAP ユーザーオブジェクトで reverse 属性を確認します。reverse 属性とは、ユーザーが属するグループを一覧表示する属性のことです。デフォルトでは、SGD はグループを、ユーザーオブジェクトの isMemberOfnsrolednmemberOf 属性で検索します。LDAP ディレクトリがほかの reverse 属性を使用してグループメンバーシップを一覧表示している場合は、それらの属性を使用するように SGD を設定できます。LDAP グループの reverse 属性を設定する方法を参照してください。

SGD は、LDAP グループのメンバーを検索するときに、グループオブジェクトの uniquemembermember、および uniqueMember 属性に含まれるユーザーを検索します。LDAP ディレクトリがほかの属性を使用してグループメンバーシップを指定している場合は、それらの属性を使用するように SGD を設定できます。LDAP グループメンバーシップ属性を設定する方法を参照してください。

グループメンバーシップ属性に SGD がユーザーを一意に識別できるだけの十分な情報が含まれていない場合 (たとえば、これらの属性にユーザーの相対識別名しか含まれていない場合) は、グループ検索が失敗します。SGD では、ユーザーの識別に使用できる短縮名属性を 1 つ以上指定できます。ユーザーの短縮名属性の値がそのグループのグループメンバーシップ属性のいずれかに含まれる場合、SGD はそのユーザーをグループのメンバーと見なします。短縮名属性が有効に機能するには、一意の値が含まれている必要があります。LDAP グループ短縮名属性を設定する方法を参照してください。

procedure icon  より深い階層に LDAP グループ検索の範囲を広げる方法

アレイ内の各 SGD サーバーで、次の手順を繰り返します。

SGD サーバーにログインしているユーザーがいないこと、および中断しているアプリケーションセッションも含め、SGD サーバー上で実行されているアプリケーションセッションがないことを確認してください。

  1. SGD ホストにスーパーユーザー (root) としてログインします。

  2. SGD サーバーを停止します。

  3. グループ検索の深さの値を大きくします。

    次のコマンドを使用します。


    # tarantella config edit \
    --com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-maximumGroupDepth \
    depth
    

    デフォルトの depth は 0 です。入れ子のグループの深さに一致するように、depth の値を増やします。

  4. SGD サーバーを起動します。

procedure icon  LDAP グループの reverse 属性を設定する方法

アレイ内の各 SGD サーバーで、次の手順を繰り返します。

SGD サーバーにログインしているユーザーがいないこと、および中断しているアプリケーションセッションも含め、SGD サーバー上で実行されているアプリケーションセッションがないことを確認してください。

  1. SGD ホストにスーパーユーザー (root) としてログインします。

  2. SGD サーバーを停止します。

  3. 追加の属性を reverse 属性として指定します。

    次のコマンドを使用します。


    # tarantella config edit \
    --com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-reverseAttributes-append \
    attribute ...
    

    複数の attribute を指定できます。各 attribute は空白文字で区切る必要があります。

  4. SGD サーバーを起動します。

procedure icon  LDAP グループメンバーシップ属性を設定する方法

アレイ内の各 SGD サーバーで、次の手順を繰り返します。

SGD サーバーにログインしているユーザーがいないこと、および中断しているアプリケーションセッションも含め、SGD サーバー上で実行されているアプリケーションセッションがないことを確認してください。

  1. SGD ホストにスーパーユーザー (root) としてログインします。

  2. SGD サーバーを停止します。

  3. 追加の属性をグループメンバーシップ属性として指定します。

    次のコマンドを使用します。


    # tarantella config edit \
    --com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-directAttributes-append \
    attribute ...
    

    複数の attribute を指定できます。各 attribute は空白文字で区切る必要があります。

  4. SGD サーバーを起動します。

procedure icon  LDAP グループ短縮名属性を設定する方法

アレイ内の各 SGD サーバーで、次の手順を繰り返します。

SGD サーバーにログインしているユーザーがいないこと、および中断しているアプリケーションセッションも含め、SGD サーバー上で実行されているアプリケーションセッションがないことを確認してください。

  1. SGD ホストにスーパーユーザー (root) としてログインします。

  2. SGD サーバーを停止します。

  3. 短縮名属性を指定します。

    次のコマンドを使用します。


    # tarantella config edit \
    --com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-userShortAttributes-append \
    attribute ...
    

    複数の attribute を指定できます。各 attribute は空白文字で区切る必要があります。

  4. SGD サーバーを起動します。

LDAP 割り当てのトラブルシューティング

Administration Console には、ユーザーの識別に使用する属性など、LDAP データの表示に影響を与えるいくつかの設定があります。Administration Console での LDAP の操作が想定したとおりに動作しない場合、設定を調整しなければいけない場合があります。詳細については、Administration Console の設定を参照してください。

LDAP 割り当てに関するの問題の診断に役立てるために、server/webtop ログフィルタを設定して詳細情報を取得してください。ログフィルタの設定については、ログフィルタを使用した SGD サーバーのトラブルシューティングを参照してください。

LDAP ディレクトリの LDAP 検索に失敗した場合のために、LDAP タイムアウトを設定できます。LDAP タイムアウトを参照してください。

SGD は、LDAP ディレクトリから収集したデータをキャッシュします。SGD が変更を検出していない場合は、キャッシュされたデータを手動で消去できます。LDAP キャッシュを参照してください。

LDAP グループ検索によって期待した結果が返されない場合は、LDAP グループ検索を調整するを参照してください。