Secure Global Desktop 4.40 管理者ガイド
> はじめに
> ユーザー、アプリケーション、およびアプリケーションサーバーの編成
ユーザー、アプリケーション、およびアプリケーションサーバーの編成
SGD は、次のディレクトリサービスの原則の上に構築されています。
- ユーザー、アプリケーション、およびアプリケーションサーバーは、ディレクトリ内のオブジェクトで表現される。これらのオブジェクトは、組織を表現する階層として構成されます。
- オブジェクトのタイプが異なれば、属性として知られている設定内容も異なる。
- オブジェクト間の関係は、重要で意味がある。
- 各オブジェクトは、一意の名前で識別される。
SGD には、さまざまなタイプのオブジェクトがあります。使用可能なオブジェクトのセットと各オブジェクトの属性をまとめて、スキーマといいます。SGD のオブジェクトは、一般的に使用されている LDAP version 3 スキーマに基づいています。SGD の機能をサポートするために、これらのオブジェクトは標準的な方法を使用して拡張されています。LDAP スキーマの詳細については、『RFC 2256』を参照してください。
オブジェクトを使って組織のそれぞれ異なる部分を表現します。複数のオブジェクトが集まって組織階層を形成します。SGD は、ローカルリポジトリを使用して、組織階層内にすべてのオブジェクトを格納します。
SGD Administration Console では、組織階層を管理するために次のタブを使用します。
- ユーザープロファイル
- アプリケーション
- アプリケーションサーバー
以降のセクションでは、これらのタブ、そのタブに含めることのできるオブジェクト、およびその使用方法について説明します。また、システムオブジェクト組織についても説明します。
コマンド行では、tarantella object
コマンド群を使用して組織階層を管理します。また、バッチスクリプトを使用して組織階層を生成することもできます。
「ユーザープロファイル」タブ
「ユーザープロファイル」タブでは、SGD ユーザーを管理します。このタブにあるオブジェクトを使用して、ユーザーの SGD 関連の設定や、ユーザーが SGD を介してアクセスできるアプリケーションを制御します。
デフォルトでは、このタブには、o=organization
と呼ばれる組織オブジェクトと、dc=com
と呼ばれるドメインコンポーネントオブジェクトの 2 つのオブジェクトが含まれています。これらは、組織階層内のトップレベルのオブジェクトです。これらのオブジェクトの名前変更や削除、または新しいトップレベルのオブジェクトの作成を行うことができます。ユーザーの管理に必要なオブジェクトはすべて、これらのトップレベルのオブジェクトタイプ内で作成します。
組織単位 (OU) オブジェクトなどのほかのオブジェクトを使用して組織を分割できます。たとえば、組織内の部門ごとに OU を使用します。OU に、他の OU (複数可) を格納して、組織をさらに分割することができます。
ユーザープロファイルオブジェクトは、ユーザー (LDAP または Active Directory 認証を使用している場合はユーザーのグループ) を表現するために使用されます。
組織、OU、およびユーザープロファイルオブジェクトには、「割り当て済みのアプリケーション」タブがあります。このタブを使用して、ユーザーにアプリケーションを割り当てます。「割り当て済みのアプリケーション」タブにリスト表示されているアプリケーションは、ユーザーが SGD を介してアクセスできるアプリケーションです。
組織階層の設計は重要です。次にヒントを示します。
- 階層の設計にもっとも重要な影響を与えるものは、使用する認証機構です。
たとえば、UNIX システム認証を使用する場合は、階層を任意の方法で構造化できます。しかし、LDAP 認証の場合は、LDAP ディレクトリ構造の一部のミラー化が必要になることがあります。
- 組織図のミラー化が、必ずしも最適であるとは限りません。
OU を使用して部門またはオフィスを表現する方法が適している場合もあります。ただし、組織が再構築された場合は、階層を構成し直す必要があります。これにより、実行中のアプリケーションセッションが孤立化したり、キャッシュされているパスワードが無効になったりする可能性があります。
- できるだけ継承を使用します。
ユーザープロファイルオブジェクトと OU オブジェクトの設定は、組織階層内のそのオブジェクトの親から継承できます。たとえば、ある部門内の全員にアプリケーションが必要な場合は、その部門を表現する OU にアプリケーションを割り当てます。その OU に属するすべてのユーザーが、OU に割り当てられたアプリケーションを使用できます。
- 必要以上にユーザープロファイルオブジェクトを作成しないでください。
ユーザープロファイルオブジェクトは、ユーザーに特定のアプリケーションやカスタマイズされた設定へのアクセスを提供するために使用されます。使用している認証機構によっては、一般にデフォルトのユーザープロファイルが使用され、これで十分ニーズを満足できる可能性があります。これは特に、LDAP ディレクトリを使用してユーザーにアプリケーションを割り当てる場合に当てはまります。
- 各オブジェクトタイプ用の命名規則を使用します。
ユーザープロファイルオブジェクトの場合は、人物のフルネーム (たとえば、「Indigo Jones」) を使用する方法が最適です。
次の表に、「ユーザープロファイル」タブで使用可能なオブジェクトタイプと、その使用方法を示します。
オブジェクトタイプ |
説明 |
ディレクトリ:組織 |
- 組織全体に適用する設定には、組織オブジェクトを使用します。
- 組織オブジェクトは常に、組織階層のトップレベルにあります。
- 組織オブジェクトには、OU またはユーザープロファイルオブジェクトを含めることができます。
- コマンド行では、
tarantella object new_org コマンドを使用して組織オブジェクトを作成します。 - 組織オブジェクトには、
o= のネーミング属性があります。
|
ディレクトリ (軽量):ドメインコンポーネント |
- ディレクトリ構造 (通常は Microsoft Active Directory 構造) を SGD 組織階層内に複製するには、ドメインコンポーネントオブジェクトを使用します。
- ドメインコンポーネントオブジェクトは組織オブジェクトに似ていますが、追加の SGD 固有の属性は含まれていません。また、アプリケーションを割り当てることもできません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
- ドメインコンポーネントオブジェクトが表示されるのは、組織階層のトップレベルか、別のドメインコンポーネントオブジェクト内に限られます。
- ドメインコンポーネントオブジェクトには、OU、ドメインコンポーネント、Active Directory コンテナ、またはユーザープロファイルオブジェクトを含めることができます。
- コマンド行では、
tarantella object new_dc コマンドを使用してドメインコンポーネントオブジェクトを作成します。 - ドメインコンポーネントオブジェクトには、
dc= のネーミング属性があります。
|
ディレクトリ:組織単位 |
- 組織内の部門、サイト、またはチームを識別するには、OU オブジェクトを使用します。
- OU は、組織またはドメインコンポーネントオブジェクトに含めることができます。
- コマンド行では、
tarantella object new_orgunit コマンドを使用して OU オブジェクトを作成します。 - OU オブジェクトには、
ou= のネーミング属性があります。
|
ディレクトリ (軽量):Active Directory コンテナ |
- Microsoft Active Directory 構造を SGD 組織階層内に複製するには、Active Directory コンテナオブジェクトを使用します。
- Active Directory コンテナオブジェクトは OU オブジェクトに似ていますが、SGD 固有の属性は含まれていません。また、アプリケーションを割り当てることもできません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
- Active Directory コンテナオブジェクトは、組織、OU、またはドメインコンポーネントオブジェクトに含まれている可能性があります。
- コマンド行では、
tarantella object new_container コマンドを使用して Active Directory コンテナオブジェクトを作成します。 - Active Directory コンテナオブジェクトには、
cn= のネーミング属性があります。
|
ユーザープロファイル |
- 組織内のユーザーを表現し、そのユーザーにアプリケーションへのアクセスを提供するには、ユーザープロファイルオブジェクトを使用します。
- 使用されている認証機構によっては、ユーザープロファイルオブジェクトを持っていない場合でも、ユーザーが SGD にログインできる可能性があります。
- 継承を使用するには、OU 内にユーザープロファイルオブジェクトを作成します。これにより、管理がより簡単に、かつ効率的になります。
- コマンド行では、
tarantella object new_person コマンドを使用してユーザープロファイルオブジェクトを作成します。 - ユーザープロファイルオブジェクトには、
cn= (共通名)、uid= (ユーザー ID)、または mail= (メールアドレス) ネーミング属性を割り当てることができます。
|
「アプリケーション」タブ
「アプリケーション」タブでは、ユーザーが SGD を介してアクセスするアプリケーションやドキュメントを設定および管理します。アプリケーションオブジェクトは常に、アプリケーション組織内に作成されます。コマンド行では、この組織は o=applications
と呼ばれます。
OU オブジェクトを使用してアプリケーション組織を分割できます。たとえば、組織内の部門ごとに OU を使用してアプリケーションを格納します。
各アプリケーションまたはドキュメントオブジェクトタイプ用の命名規則を使用します。アプリケーションまたはドキュメントオブジェクトの名前はユーザーに表示されます。
アプリケーション、グループ、および OU オブジェクトには、「割り当て済みのユーザープロファイル」タブがあります。このタブを使用して、ユーザーにアプリケーションを割り当てます。「割り当て済みのユーザープロファイル」タブにリスト表示されているユーザーは、SGD を介してこのアプリケーションにアクセスできるユーザーです。
アプリケーションオブジェクトには、「ホストしているアプリケーションサーバー」タブがあります。このタブを使用して、アプリケーションにアプリケーションサーバーを割り当てます。「ホストしているアプリケーションサーバー」タブにリスト表示されているアプリケーションサーバーは、そのアプリケーションを実行できるアプリケーションサーバーです。
次の表に、「アプリケーション」タブで使用可能なオブジェクトタイプと、その使用方法を示します。
オブジェクトタイプ |
説明 |
ディレクトリ:組織単位 |
- アプリケーションを組織内の各部門、サイト、またはチームに分割するには、OU オブジェクトを使用します。
- コマンド行では、
tarantella object new_orgunit コマンドを使用して OU オブジェクトを作成します。 - OU オブジェクトには、
ou= のネーミング属性があります。
|
グループ |
- アプリケーションのグループをユーザープロファイルに関連付けるには、グループオブジェクトを使用します。
- グループオブジェクトは、OU と同じではありません。アプリケーションは、1 つの OU にしか所属できませんが、さまざまなグループのメンバーになることができます。
- グループへの所属に影響を与えずに、グループのメンバーを移動することや、メンバーの名前を変更することができます。
- コマンド行では、
tarantella object new_group コマンドを使用してグループオブジェクトを作成します。 - グループオブジェクトには、
cn= のネーミング属性があります。
|
X アプリケーション |
- ユーザーに X11 グラフィカルアプリケーションを提供するには、X アプリケーションオブジェクトを使用します。
- 詳細は、「X アプリケーションの設定」を参照してください。
- コマンド行では、
tarantella object new_xapp コマンドを使用して X アプリケーションオブジェクトを作成します。 - X アプリケーションオブジェクトには、
cn= のネーミング属性があります。
|
Windows アプリケーション |
- ユーザーに Microsoft Windows グラフィカルアプリケーションを提供するには、Windows アプリケーションオブジェクトを使用します。
- 詳細は、「Windows アプリケーションの設定」を参照してください。
- コマンド行では、
tarantella object new_windowsapp コマンドを使用して Windows アプリケーションオブジェクトを作成します。 - Windows アプリケーションオブジェクトには、
cn= のネーミング属性があります。
|
文字型アプリケーション |
- ユーザーに VT420、Wyse 60、または SCO コンソールの文字型アプリケーションを提供するには、文字型アプリケーションオブジェクトを使用します。
- 詳細は、「文字型アプリケーションの設定」を参照してください。
- コマンド行では、
tarantella object new_charapp コマンドを使用して文字型アプリケーションオブジェクトを作成します。 - 文字型アプリケーションオブジェクトには、
cn= のネーミング属性があります。
|
ドキュメント |
- ユーザーにドキュメントを提供するには、ドキュメントオブジェクトを使用します。
- ドキュメントオブジェクトは、任意の URL を参照できます。Sun StarSuite ドキュメントや Adobe Acrobat ファイルを含む、Web 上の任意のドキュメントにすることができます。ドキュメントから Web アプリケーションを参照することもできます。
- URL を実際に取得するのはユーザーのクライアントデバイスであるため、ファイアウォールやその他のセキュリティー機能のためにユーザーが URL にアクセスできなくなる可能性があります。
- コマンド行では、
tarantella object new_doc コマンドを使用してドキュメントオブジェクトを作成します。 - ドキュメントオブジェクトには、
cn= のネーミング属性があります。
|
3270 アプリケーション |
- ユーザーに 3270 アプリケーションを提供するには、3270 アプリケーションオブジェクトを使用します。
- SGD では、3270 アプリケーションのために他社製の Unix 用 TeemTalk エミュレータアプリケーションが使用されます。詳細については、PDF 形式の『TeemTalk for Unix User's Guide』を参照してください。
- はじめてエミュレータを実行するユーザーには、SGD ホストのそのユーザーのホームディレクトリに
tta3270.nv 構成ファイルが作成されます。 - コマンド行では、
tarantella object new_3270app コマンドを使用して 3270 アプリケーションオブジェクトを作成します。 - 3270 アプリケーションオブジェクトには、
cn= のネーミング属性があります。
|
5250 アプリケーション |
- ユーザーに 5250 アプリケーションを提供するには、5250 アプリケーションオブジェクトを使用します。
- SGD では、5250 アプリケーションのために他社製の Unix 用 TeemTalk エミュレータアプリケーションが使用されます。詳細については、PDF 形式の『TeemTalk for Unix User's Guide』を参照してください。
- はじめてエミュレータを実行するユーザーには、SGD ホストのそのユーザーのホームディレクトリに
teemx320.nv 構成ファイルが作成されます。 - コマンド行では、
tarantella object new_5250app コマンドを使用して 5250 アプリケーションオブジェクトを作成します。 - 5250 アプリケーションオブジェクトには、
cn= のネーミング属性があります。
|
「アプリケーションサーバー」タブ
「アプリケーションサーバー」タブでは、ユーザーが SGD を介してアクセスできるアプリケーションを実行するアプリケーションサーバーを設定および管理します。アプリケーションサーバーオブジェクトは常に、アプリケーションサーバー組織に含まれています。コマンド行では、この組織は o=appservers
と呼ばれます。
OU オブジェクトを使用してアプリケーションサーバー組織を分割できます。たとえば、組織内の部門ごとに OU を使用して特定のサイト内のアプリケーションサーバーを格納します。
アプリケーションサーバーオブジェクトには、「ホストされているアプリケーション」タブがあります。このタブを使用して、アプリケーションサーバーにアプリケーションを割り当てます。「ホストされているアプリケーション」タブにリスト表示されているアプリケーションは、このアプリケーションサーバー上で動作するように設定されているアプリケーションです。
次の表に、「アプリケーションサーバー」タブで使用可能なオブジェクトタイプと、その使用方法を示します。
オブジェクトタイプ |
説明 |
ディレクトリ:組織単位 |
- アプリケーションサーバーを組織内の各部門、サイト、またはチームに分割するには、OU オブジェクトを使用します。
- コマンド行では、
tarantella object new_orgunit コマンドを使用して OU オブジェクトを作成します。 - OU オブジェクトには、
ou= のネーミング属性があります。
|
グループ |
- 類似のアプリケーションサーバーをアプリケーションの負荷分散に関連付けるには、グループオブジェクトを使用します。
- グループオブジェクトは、OU と同じではありません。アプリケーションサーバーは、1 つの OU にしか所属できませんが、さまざまなグループのメンバーになることができます。
- グループへの所属に影響を与えずに、グループのメンバーを移動することや、メンバーの名前を変更することができます。
- コマンド行では、
tarantella object new_group コマンドを使用してグループオブジェクトを作成します。 - グループオブジェクトには、
cn= のネーミング属性があります。
|
アプリケーションサーバー |
- SGD を介してアプリケーションを実行するために使用されるアプリケーションサーバーを表現するには、アプリケーションサーバーオブジェクトを使用します。
- アプリケーションサーバーは、アプリケーションの負荷分散で使用されます。アプリケーションオブジェクトに 2 つ以上のアプリケーションサーバーオブジェクトを割り当てた場合、SGD はすべてのアプリケーションサーバーにおける負荷に基づいて、使用するアプリケーションサーバーを選択します。
- コマンド行では、
tarantella object new_host コマンドを使用してアプリケーションサーバーオブジェクトを作成します。 - アプリケーションサーバーオブジェクトには、
cn= のネーミング属性があります。
|
システムオブジェクト組織
システムオブジェクト組織には、SGD の円滑な運用と保守のための重要なオブジェクトが格納されています。コマンド行では、システムオブジェクト組織は o=Tarantella System Objects
として表示されます。
システムオブジェクト組織には、「Global Administrators」ロールオブジェクトが含まれています。このオブジェクトによって、だれが Secure Global Desktop 管理者
であり、だれが SGD 管理ツールを実行できるかが決定されます。
システムオブジェクト組織にはまた、プロファイルオブジェクトも含まれています。これらのオブジェクトは、SGD でサポートされている各種の認証機構で使用されるデフォルトのユーザープロファイルオブジェクトです。
システムオブジェクト組織内のオブジェクトを編集することは可能ですが、オブジェクトを追加、削除、移動したり、名前を変更したりすることはできません。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.