通常、ユーザー情報は Active Directory または LDAP サーバーにすでに格納されています。プールを作成してユーザーをデスクトップに割り当てるには、先に必要な Active Directory/LDAP サーバーと Oracle VDI を設定してください。次に、Oracle VDI によってサポートされるユーザーディレクトリの種類について説明します。
Active Directory 統合は、Microsoft Active Directory と統合する本稼動プラットフォーム向けに推奨される選択肢です。Active Directory 統合には、Kerberos 設定、時刻の同期など、Oracle VDI ホストでの追加の設定が必要です。テストなどで Active Directory 統合をすばやく設定する場合は、「LDAP タイプ」を使用できます。「「LDAP タイプ」」を参照してください。
Active Directory のサポートされるバージョンについては、「「サポートされているユーザーディレクトリ」」を参照してください。
Active Directory からユーザーをデスクトップとプールに割り当てて、これらのユーザーが Oracle VDI からデスクトップにアクセスできるようにすることができます。この基本機能に加え、Active Directory 統合は次の機能を提供します。
Active Directory 統合を使用すると、1 つのフォレストからすべてのユーザーにアクセスし、これらのユーザーにデスクトップおよびプールを割り当てることができます。つまり、フォレストの異なるサブドメインからのユーザーが、Oracle VDI からデスクトップにアクセスできるということです。
サポートされるフォレスト設定については、「「複雑なフォレスト構成について」」を参照してください。
Active Directory 統合を使用すると、複製されたデスクトップが Oracle VDI によって削除されたときに Active Directory からコンピュータのエントリを削除できます。
Oracle Oracle VDI によって複製された Windows デスクトップが、Sysprep を通じてドメインに参加すると、通常では Active Directory に新しいコンピュータのエントリが作成されます。Kerberos 認証を使用して Oracle VDI を設定すると、使用されていないデスクトップを削除したときに、Oracle VDI によって Active Directory からコンピュータのエントリを削除できます。これにより、対応するデスクトップがすでに破棄されているのにコンピュータのエントリが Active Directory に蓄積されるのを防ぐことができます。
Active Directory 統合を使用すると、パスワードの有効期限が切れる前 (省略可能な操作)、またはパスワードの有効期限が切れたあと (必須の操作) のいずれかに、Active Directory サーバーのパスワードをユーザーが各自で更新する (「ユーザーパスワードの変更方法」) ことができます。
次のサポートされる Active Directory の種類から選択できます。
Kerberos 認証 - Microsoft Active Directory と統合する場合の標準的な選択肢です。
詳細については、「「Kerberos 認証の設定方法」」セクションを参照してください。
公開キー認証 - ドメインコントローラで LDAP 署名が必要な場合に、Microsoft Active Directory と統合するために使用されます。http://support.microsoft.com/kb/935834 を参照してください。
詳細については、「「公開キー認証の設定方法」」セクションを参照してください。
LDAP 統合は、ほかの種類の LDAP ディレクトリとの統合、または Active Directory 統合をすばやく設定する場合に推奨される選択肢です。この設定は、追加の設定を必要とせず、容易に行えます。
サポートされる LDAP ディレクトリについては、「「サポートされているユーザーディレクトリ」」を参照してください。
LDAP 統合を使用すると、このパスワードの有効期限が切れる前にのみ、ディレクトリサーバーのパスワードをユーザーが各自で更新する (「ユーザーパスワードの変更方法」) ことができます。ユーザーのパスワードの有効期限が切れると、ユーザーは、Oracle VDI の外部で、顧客が規定したプロセスを使用してパスワードを更新することが必要になります。
LDAP 統合には、認証のセキュリティーの種類として匿名認証、単純認証、セキュア認証の 3 つがあります。
匿名認証 - LDAP サーバーとすばやく統合するために役立ちますが、本稼働環境では推奨しません。匿名認証は、LDAP サーバーが匿名認証をサポートしている場合にのみ選択できます。Active Directory は匿名認証をサポートしていません。
詳細については、「「匿名認証の設定方法」」セクションを参照してください。
単純認証 - Active Directory 以外の LDAP ディレクトリと統合されている本稼働プラットフォームで推奨される選択肢です。Active Directory と統合している場合は、Kerberos 認証を使用してください (「Kerberos 認証の設定方法」を参照)。Active Directory のデフォルトでの制限により、LDAP 単純認証からパスワードを更新することはできません。
詳細については、「「単純認証の設定方法」」セクションを参照してください。
セキュア認証 - ディレクトリでサポートされている場合に、接続を SSL を介してセキュリティーで保護するために役立ちます。
詳細については、「「セキュア認証の設定方法」」セクションを参照してください。
ユーザーが Oracle VDI から (デスクトップセレクタを介して) デスクトップを取得すると、Oracle VDI がユーザー証明書をデスクトップに渡すため、ユーザーはデスクトップへのログイン時に証明書を再入力する必要がありません。一方向の Oracle VDI により、ユーザーは電子メールアドレスによって認証できますが、電子メールアドレスはデスクトップサイトの有効なユーザー名ではありません。
Oracle VDI
は、証明書をデスクトップに渡す前に、ユーザーディレクトリからユーザー
ID
属性とユーザーのデフォルトドメインを検索することによって、電子メールアドレスを
username@domain
の形式に解釈処理しようとします。LDAP
を使用している場合、Oracle VDI
はデフォルトドメインを検出できないため、vda
directory-setprops コマンドを使用して
directory.default.domain
プロパティーを設定する必要があります。このプロパティーを設定しないと、ユーザーはデスクトップサイトでふたたび認証する必要があります。
読者がユーザーディレクトリの統合について理解している上級者で、ユーザーディレクトリ用に Oracle VDI を最適化しようとしている場合は、次のセクションを参照してください。