SGD は、ディレクトリサービスの原則に基づいて構築されています。ユーザー、アプリケーション、およびアプリケーションサーバーは、ディレクトリ内のオブジェクトで表現されます。これらのオブジェクトは、組織を表現する組織階層に構造化されます。
組織階層は、トップレベルのディレクトリオブジェクト (通常は組織オブジェクト) から始まります。ほかのディレクトリオブジェクト (組織単位 (OU) など) は、組織階層を分割するために使用できるコンテナです。グループオブジェクトを作成することができます。グループオブジェクトはコンテナではありません。グループには、組織階層のほかの部分に存在するオブジェクトであるメンバーが含まれています。
また、SGD にも、ユーザー、アプリケーション、およびアプリケーションサーバーを表現するためのさまざまなオブジェクトタイプがあります。
各オブジェクトには、属性と呼ばれるいくつかの構成設定があります。たとえば、アプリケーションオブジェクトには、ユーザーに表示するアイコンの名前である「アイコン」属性があります。
SGD オブジェクトと、各オブジェクトで使用される属性は、一般的に使用されている LDAP Version 3 スキーマに基づいています。SGD 機能をサポートするために、これらのオブジェクトは標準的な方法を使用して拡張されています。LDAP スキーマの詳細については、RFC 2256 を参照してください。
SGD は、ローカルリポジトリを使用して、組織階層内にすべてのオブジェクトを格納します。各オブジェクトは、属性名を接頭辞として使用することで (たとえば、ou=Sales
)、同じコンテナ内のほかのオブジェクトから区別されます。この属性は、名前属性または相対識別名 (RDN) と呼ばれます。同じコンテナ内の 2 つのオブジェクトが同じ RDN を持つことはできません。階層のトップレベルからのすべての RDN を含むオブジェクトの完全な名前が識別名 (DN) (たとえば、o=例/ou=Sales
) です。DN とは、オブジェクトを一意に識別する名前です。SGD のオブジェクト名は、ファイルシステムのパスと同様に記述されます (スラッシュで区切られたトップダウン形式)。次の表に、オブジェクトと、その RDN および DN の例をいくつか示します。
オブジェクトタイプ | 相対識別名 | 識別名 |
---|---|---|
組織 |
|
|
OU |
|
|
ユーザープロファイル |
|
|
ユーザープロファイル |
|
|
オブジェクト間の関係は重要です。たとえば、ユーザーにアプリケーションを配備するには、ユーザープロファイルオブジェクトをアプリケーションオブジェクトに関連付けます。SGD では、これらの関係は割り当てと呼ばれます。割り当てについては、「アプリケーションの公開」でさらに詳しく説明します。
階層とオブジェクトの詳細については、以降のセクションを参照してください。
SGD は、ユーザー、アプリケーション、アプリケーションサーバーの各組織階層と、SGD が使用するオブジェクトが含まれたシステムオブジェクト階層の 4 つの組織階層を使用します。Administration Console では、次のタブを使用してこれらの組織階層を管理します。
以降のセクションでは、これらのタブ、そのタブに含めることのできるオブジェクト、およびその使用方法について説明します。また、システムオブジェクト組織についても説明します。
コマンド行では、tarantella object コマンドを使用して組織階層を管理します。また、このコマンドでは、バッチスクリプトを使用して組織階層を移植することもできます。「バッチスクリプトを使用した SGD 組織階層の移植」を参照してください。
Administration Console の「ユーザープロファイル」タブでは、SGD ユーザーを管理するためのオブジェクトを作成して構成します。このタブにあるオブジェクトを使用して、ユーザーの SGD 関連の設定や、ユーザーが SGD を介してアクセスできるアプリケーションを制御します。
デフォルトでは、このタブには、o=organization
と呼ばれる組織オブジェクトと、dc=com
と呼ばれるドメインコンポーネントオブジェクトの 2 つのオブジェクトが含まれています。これらは、組織階層内のトップレベルのオブジェクトです。これらのオブジェクトの名前変更や削除、または新しいトップレベルのオブジェクトの作成を行うことができます。ユーザーの管理に必要なオブジェクトはすべて、これらのトップレベルのオブジェクト内で作成します。
「ユーザープロファイル」タブで使用可能な SGD オブジェクトタイプを次に示します。
Administration Console の「アプリケーション」タブでは、ユーザーが SGD を介してアクセスできるアプリケーションやドキュメントを表現するオブジェクトを作成して構成します。これらのオブジェクトは常に、アプリケーション組織内で作成されます。コマンド行では、この組織は o=applications
と呼ばれます。
「アプリケーション」タブで使用可能な SGD オブジェクトタイプを次に示します。
Administration Console の「アプリケーションサーバー」タブでは、SGD を介して表示されたアプリケーションを実行するアプリケーションサーバーを管理するためのオブジェクトを作成して構成します。これらのオブジェクトは常に、アプリケーションサーバー組織内で作成されます。コマンド行では、この組織は o=appservers
と呼ばれます。
「アプリケーションサーバー」タブで使用可能な SGD オブジェクトタイプを次に示します。
システムオブジェクト組織には、SGD の運用と保守に不可欠なオブジェクトが格納されています。コマンド行では、システムオブジェクト組織は o=Tarantella System Objects
と表示されます。
システムオブジェクト組織には、「Global Administrators」ロールオブジェクトが含まれています。このオブジェクトによって、だれが SGD 管理者であり、だれが SGD グラフィカル管理ツールを使用できるかが決定されます。「SGD 管理者」を参照してください。
システムオブジェクト組織にはまた、プロファイルオブジェクトも含まれています。これらのオブジェクトは、各種の SGD 認証メカニズムで使用されるデフォルトのユーザープロファイルオブジェクトです。たとえば、LDAP または Active Directory 認証を使用している場合は、プロファイルオブジェクト System Objects/LDAP Profile
がデフォルトのユーザープロファイルです。
システムオブジェクト組織内のオブジェクトを編集することは可能ですが、オブジェクトを作成、移動、削除したり、名前を変更したりすることはできません。
このセクションでは、使用可能な SGD オブジェクトタイプとその使用方法について説明します。
ユーザー、アプリケーション、およびアプリケーションサーバーを編成するために使用されるオブジェクトタイプを次に示します。
ユーザー、アプリケーション、およびアプリケーションサーバーを表現するために使用されるオブジェクトタイプを次に示します。
組織オブジェクトであるディレクトリオブジェクトは、組織全体に適用する設定のために使用されます。組織オブジェクトは常に、組織階層のトップレベルにあり、OU オブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。
コマンド行では、tarantella object new_org コマンドを使用して組織オブジェクトを作成します。
組織オブジェクトには、「o=
」名前属性を指定します。
ドメインコンポーネントオブジェクトであるディレクトリ (軽量) オブジェクトは、ディレクトリ構造 (通常は Microsoft Active Directory 構造) を SGD 組織階層内に複製するために使用されます。ドメインコンポーネントオブジェクトは組織オブジェクトに似ていますが、追加の SGD 固有属性が含まれていないか、ユーザーがアプリケーションを割り当てることができません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
ドメインコンポーネントオブジェクトが表示されるのは、組織階層のトップレベルか、別のドメインコンポーネントオブジェクト内に限られます。ドメインコンポーネントオブジェクトには、OU オブジェクト、ドメインコンポーネントオブジェクト、Active Directory コンテナオブジェクト、またはユーザープロファイルオブジェクトを含めることができます。
コマンド行では、tarantella object new_dc コマンドを使用してドメインコンポーネントオブジェクトを作成します。
ドメインコンポーネントオブジェクトには、「dc=
」名前属性を指定します。
OU オブジェクトであるディレクトリオブジェクトは、ユーザー、アプリケーション、およびアプリケーションサーバーを各部門、サイト、またはチームに分割するために使用されます。
OU は、組織オブジェクトまたはドメインコンポーネントオブジェクトに含めることができます。
コマンド行では、tarantella object new_orgunit コマンドを使用してディレクトリオブジェクトを作成します。
ディレクトリオブジェクトには、「ou=
」名前属性を指定します。
Active Directory コンテナオブジェクトは、Microsoft Active Directory 構造を SGD 組織階層内に複製するために使用されます。
Active Directory コンテナオブジェクトは OU に似ていますが、SGD 固有の属性は含まれておらず、アプリケーションを割り当てることもできません。これが、ディレクトリ (軽量) オブジェクトと呼ばれる理由です。
Active Directory コンテナオブジェクトは、組織オブジェクト、OU オブジェクト、またはドメインコンポーネントオブジェクトに含めることができます。
コマンド行では、tarantella object new_container コマンドを使用して Active Directory コンテナオブジェクトを作成します。
Active Directory コンテナオブジェクトには、「cn=
」名前属性を指定します。
ユーザープロファイルオブジェクトは、組織内のユーザーを表現し、そのユーザーがアプリケーションにアクセスできるようにするために使用されます。また、ユーザーに関連付けられた SGD 設定も定義します。
SGD がユーザープロファイルオブジェクトをユーザーに関連付ける方法は、使用されている認証メカニズムによって異なります。認証メカニズムによっては、ユーザープロファイルオブジェクトを作成する必要がまったくない場合もあります。詳細については、「Secure Global Desktop 認証」を参照してください。
コマンド行では、tarantella object new_person コマンドを使用してユーザープロファイルオブジェクトを作成します。
ユーザープロファイルオブジェクトには、「cn=
(共通名)」、「uid=
(ユーザー識別情報)」、または「mail=
(電子メールアドレス)」名前属性を指定できます。
グループオブジェクトは、アプリケーションのグループを「ユーザープロファイル」タブのオブジェクトに関連付けたり、アプリケーションサーバーのグループを「アプリケーション」タブのオブジェクトに関連付けたりするために使用されます。
グループオブジェクトはディレクトリオブジェクトと同じではありません。アプリケーションまたはアプリケーションサーバーは、1 つのディレクトリにしか所属できませんが、さまざまなグループのメンバーになることができます。
グループのメンバーにすることができるのは、アプリケーション、アプリケーションサーバー、またはその他のグループです。グループは、グループメンバーシップに影響を与えずに、移動したり、名前を変更したりできます。
アプリケーションサーバーオブジェクトのグループを使用すると、負荷分散のために、類似したアプリケーションサーバーを関連付けることができます。詳細については、「負荷分散」を参照してください。
コマンド行では、tarantella object new_group コマンドを使用してグループオブジェクトを作成します。
グループオブジェクトには、「cn=
」名前属性を指定します。
Windows アプリケーションオブジェクトは、ユーザーに Microsoft Windows グラフィカルアプリケーションを提供するために使用されます。詳細については、「Windows アプリケーション」を参照してください。
コマンド行では、tarantella object new_windowsapp コマンドを使用して Windows アプリケーションオブジェクトを作成します。
Windows アプリケーションオブジェクトには、「cn=
」名前属性を指定します。
X アプリケーションオブジェクトは、ユーザーに X11 グラフィカルアプリケーションを提供するために使用されます。詳細については、「X アプリケーション」を参照してください。
コマンド行では、tarantella object new_xapp コマンドを使用して X アプリケーションオブジェクトを作成します。
X アプリケーションオブジェクトには、「cn=
」名前属性を指定します。
文字型アプリケーションオブジェクトは、ユーザーに VT420、Wyse 60、または SCO コンソールの文字型アプリケーションを提供するために使用されます。詳細については、「文字型アプリケーション」を参照してください。
コマンド行では、tarantella object new_charapp コマンドを使用して文字型アプリケーションオブジェクトを作成します。
文字型アプリケーションオブジェクトには、「cn=
」名前属性を指定します。
ドキュメントオブジェクトは、ユーザーにドキュメントを提供するために使用されます。ドキュメントオブジェクトは、任意の URL を参照できます。
コマンド行では、tarantella object new_doc コマンドを使用してドキュメントオブジェクトを作成します。
ドキュメントオブジェクトには、「cn=
」名前属性を指定します。
3270 アプリケーションオブジェクトは、ユーザーに 3270 (メインフレーム) アプリケーションを提供するために使用されます。
コマンド行では、tarantella object new_3270app コマンドを使用して 3270 アプリケーションオブジェクトを作成します。
3270 アプリケーションオブジェクトには、「cn=
」名前属性を指定ます。
5250 アプリケーションオブジェクトは、ユーザーに 5250 (AS/400) アプリケーションを提供するために使用されます。
コマンド行では、tarantella object new_5250app コマンドを使用して 5250 アプリケーションオブジェクトを作成します。
5250 アプリケーションオブジェクトには、「cn=
」名前属性を指定します。
動的アプリケーションオブジェクトは、実行するアプリケーションをユーザーが選択できるようにするために、動的な起動で使用されます。詳細については、「動的起動」を参照してください。
コマンド行では、tarantella object new_dynamicapp コマンドを使用して動的アプリケーションオブジェクトを作成します。動的アプリケーションオブジェクトには、「cn=
」名前属性を指定します。
アプリケーションサーバーオブジェクトは、SGD を介してアプリケーションを実行するために使用されるアプリケーションサーバーを表現するために使用されます。
アプリケーションサーバーは負荷分散で使用されます。2 つ以上のアプリケーションサーバーオブジェクトを 1 つのアプリケーションオブジェクトに割り当てる場合、SGD では、すべてのアプリケーションサーバーにおける負荷に基づいて、使用するアプリケーションサーバーが選択されます。詳細については、「負荷分散」を参照してください。
コマンド行では、tarantella object new_host コマンドを使用してアプリケーションサーバーオブジェクトを作成します。アプリケーションサーバーオブジェクトには、「cn=
」名前属性を指定します。
動的アプリケーションサーバーオブジェクトは、アプリケーションを実行するアプリケーションサーバーをユーザーが選択できるようにするために、動的な起動で使用されます。詳細については、「動的起動」を参照してください。
コマンド行では、tarantella object new_host --dynamic
コマンドを使用して動的アプリケーションサーバーオブジェクトを作成します。動的アプリケーションサーバーオブジェクトには、「cn=
」名前属性を指定します。
組織階層をモデル化するために作成するオブジェクトを完全に制御できます。ただし、組織階層を実装する前に、その組織階層を設計してテストすることが重要です。設計に影響する要素としては、次のものがあります。
認証メカニズム。組織階層の設計にもっとも重要な影響を与えるものは、使用する Secure Global Desktop 認証メカニズムです。たとえば、UNIX システム認証を使用する場合は、階層を任意の方法で構造化できます。しかし、LDAP 認証の場合は、LDAP ディレクトリ構造の一部のミラー化が必要になることがあります。詳細については、「Secure Global Desktop 認証」を参照してください。
組織図。場合によっては、OU を使用して、組織内の部門またはオフィスを表現する方法が適していることがあります。ただし、組織が再構築された場合は、階層の再構成が必要になることがあります。
継承。ユーザープロファイルオブジェクトと OU オブジェクトの設定は、組織階層内のそのオブジェクトの親から継承できます。たとえば、ある部門内の全員にアプリケーションが必要な場合は、その部門を表現する OU にアプリケーションを割り当てます。その OU に属するすべてのユーザーが、OU に割り当てられたアプリケーションを使用できます。継承は、LDAP 割り当てを使用していない場合にもっともよく機能します。
ユーザープロファイルオブジェクト。ユーザープロファイルオブジェクトを設定すると、ユーザーに特定のアプリケーションやカスタマイズされた設定へのアクセスを許可できます。有効になっている認証メカニズムによっては、一般にデフォルトのユーザープロファイルが使用され、これで十分ニーズを満足できる可能性があります。これは特に、LDAP 割り当てを使用してユーザーにアプリケーションを割り当てる場合に当てはまります。
命名規則。各アプリケーションまたはドキュメントオブジェクトタイプ用の命名規則を使用します。アプリケーションまたはドキュメントオブジェクトの名前はユーザーに表示されます。ユーザープロファイルオブジェクトの場合は、人物のフルネーム (たとえば、「Indigo Jones」) を使用する方法が最適です。
Administration Console でオブジェクトを作成する際、オブジェクトの名前には、バックスラッシュ (\) とプラス (+) を除く任意の文字を使用できます。
コマンド行で、オブジェクト名の中でスラッシュを使用するときは、バックスラッシュでエスケープ処理を行う必要があります。SGD では、スラッシュが組織階層の一部分として解釈されるためです。たとえば、ユーザーが o=organization
の下位に cn=a/b
という相対名のオブジェクトを作成しようとすると、SGD は o=organization/cn=a
の内部に b
というオブジェクトを作成しようとします。実際には o=organization/cn=a
というオブジェクトは存在しないため、エラーが発生します。この名前のオブジェクトを作成するには、cn=a\/b
と入力します。
空白文字を含むオブジェクト名をコマンド行で使用する場合は、名前を引用符で囲みます (たとえば、".../_ens/o=例"
)。
tarantella object コマンドでは、ローカルリポジトリ内の名前はすべて、大文字と小文字が区別されません。オブジェクトの作成や名前の変更を行う際は、使用される大文字と小文字の区別が保持されます。ただし、tarantella webtopsession コマンドや tarantella emulatorsession コマンドなどのその他のコマンドでは、大文字と小文字が区別されます。
多数のオブジェクトを含む組織階層を移植する場合、Administration Console を使用してこれを行うのはあまり効率的ではありません。この問題を解決するには、tarantella object コマンドのバッチスクリプト処理機能を使用します。
SGD 組織階層の構造を設計したら、必要なオブジェクトのタイプごとにファイルを作成します。各ファイルには、適切な tarantella object コマンドからオブジェクトを作成するための正しい構文で、オブジェクトごとに 1 行を記述します。たとえば、5 つの OU を作成するには、orgunits.txt
というファイルに次のような行を記述します。
--name "o=例/ou=IT" \ --name "o=例/ou=Sales" \ --name "o=例/ou=Marketing" \ --name "o=例/ou=Finance" \ --name "o=例/ou=Finance/ou=Administration"
各行の一部として、実際の tarantella object コマンド名 (たとえば、object new_orgunit) を指定しないでください。
次のことに留意してください。
アプリケーションオブジェクト (グループと OU を含む) は、o=applications
組織で作成する必要があります。
アプリケーションサーバーオブジェクト (グループと OU を含む) は、o=appservers
組織で作成する必要があります。
すべてのアプリケーションにアプリケーションオブジェクトが必要です。
すべてのアプリケーションサーバーにアプリケーションサーバーオブジェクトが必要です。
すべてのファイルを作成し終えたら、tarantella object script コマンドを使用してすべてのファイルを一度に処理します。例:
#!/bin/sh tarantella object script << EOF new_orgunit --file orgunits.txt new_group --file groups.txt new_host --file hosts.txt new_person --file people.txt new_xapp --file xapps.txt new_windowsapp --file windowsapps.txt new_charapp --file charapps.txt EOF
tarantella object script コマンドによって、各コマンドが順番に実行されます。指定したファイルが各コマンドによって読み込まれ、処理されます。
tarantella object script コマンドでは、任意の tarantella object サブコマンドを一緒に使用できます。ほかのファイルからオブジェクトの詳細を読み込む必要はありません。
tarantella passcache コマンドなど、ほかの多くのコマンドで --file 引数を使用できるため、関連する複数のアクションを一度に実行できます。
ユーザーが LDAP 認証、Active Directory 認証、または LDAP 検索を使用したサードパーティー認証のいずれかによって認証されている場合、SGD はローカルリポジトリを検索してユーザーのユーザープロファイルを確立するため、LDAP と SGD の命名体系の違いに対応できます。SGD は、一致するものが見つかるまで次の検索を行います。
ユーザーの LDAP オブジェクトと同じ名前を持つユーザープロファイル。
たとえば、LDAP オブジェクトが cn=Emma Rald,cn=Sales,dc=example,dc=com
である場合、SGD はローカルリポジトリ内で dc=com/dc=example/cn=Sales/cn=Emma Rald
を検索します。
LDAP オブジェクトと同じ組織単位に含まれるが、cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=example/cn=Sales/cn=LDAP Profile
です。
cn=LDAP Profile
という名前を持つ、いずれかの親の組織単位内のユーザープロファイル。
たとえば、dc=com/dc=example/cn=LDAP Profile
です。
一致が見つからない場合は、プロファイルオブジェクト o=System Objects/cn=LDAP Profile
がユーザープロファイルとして使用されます。
通常、LDAP ユーザーおよび Active Directory ユーザーはデフォルトの LDAP プロファイルを使用し、アプリケーションとドキュメントは LDAP 割り当てを使用してこれらのユーザーに割り当てられます。「LDAP 割り当て」を参照してください。ただし、ユーザープロファイルオブジェクトを使用して、コピー&ペーストを使用する機能やクライアントプロファイルを編集する機能など、ユーザーの SGD 固有の設定を制御することもできます。LDAP または Active Directory ユーザーの SGD 設定をカスタマイズする場合は、LDAP 構造の一部をローカルリポジトリにミラー化しなければいけないことがあります。
LDAP 構造をミラー化するときは、次のことに留意してください。
LDAP 構造全体をローカルリポジトリにミラー化しないでください。必要とするだけの構造を作成してください。
組織階層内のほかのオブジェクトから、可能なかぎり多くを継承するようにしてください。
すべてのユーザーのユーザープロファイルオブジェクトを作成しないでください。個別の設定が必要なユーザーのユーザープロファイルオブジェクトのみを作成してください。ほとんどの場合は、cn=LDAP Profile
オブジェクトを作成するだけで十分です。
LDAP URL の一部としてベース DN (検索ルート) を指定するサービスオブジェクトを設定することができます。「サービスオブジェクトの使用」を参照してください。基本 DN は、LDAP 構造をミラー化する際の開始点として使用できます。SGD では、トップレベルのオブジェクトとして組織オブジェクト (o=
) またはドメインコンポーネント (dc=
) オブジェクトのみが許可されます。LDAP 構造で国 (c=
) オブジェクトや場所 (l=
) オブジェクトなどのその他のオブジェクトが使用されている場合は、サービスオブジェクトの基本 DN で、組織またはドメインコンポーネントオブジェクトからのミラー化が可能であることを確認する必要があります。また、SGD では、ディレクトリコンテナとして使用可能なオブジェクトが制限されています。たとえば、組織オブジェクトを組織オブジェクトの入れ子にすることはできます。すなわち、必要なすべてをミラー化するためには、別のベース DN を持つサービスオブジェクトを作成する必要がある場合があります。
Administration Console で LDAP ミラー化を操作する場合は、操作するオブジェクトの名前属性を表示すると役立ちます。デフォルトでは、Administration Console に名前属性は表示されません。名前属性の表示は、Administration Console の「設定」で有効にします。
Administration Console でユーザープロファイルを操作する場合は、「ユーザープロファイル」タブの「リポジトリ」リストから「ローカル + LDAP」を選択します。ローカルリポジトリにミラー化された LDAP オブジェクトは、次のアイコンで示されます。
次に挙げるのは、LDAP 組織をミラー化して、ユーザーに異なる SGD 設定を行う方法を示した例です。
example.com 社には、IT、Sales、Marketing、Finance、Administration の 5 つの部門があります。Finance 部門と Marketing 部門には、ほかの部門とは異なる SGD 設定が必要です。Finance 部門の Sid Cerise には、Finance 部門のほかのユーザーとは異なる SGD 設定が必要です。
作成するオブジェクトは、使用している LDAP ディレクトリサーバーの種類に依存します。これについては次のセクションで説明します。
Oracle Directory Server Enterprise Edition (旧 Sun Java System Directory Server) で、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と、使用するオブジェクトタイプは次のとおりです。
o=example.com
組織オブジェクトを使用します。
ou=Finance,o=example.com
OU オブジェクトを使用します。
ou=Marketing,o=example.com
OU オブジェクトを使用します。
Administration Console で、ディレクトリオブジェクトを作成します。名前属性は自動的に設定されます。
図3.1「Oracle Directory Server のミラー化された LDAP オブジェクトの例」 は、Administration Console でミラー化されたオブジェクトを示しています。
この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。
o=example.com/ou=Finance/cn=LDAP Profile
o=example.com/ou=Marketing/cn=LDAP Profile
o=example.com/ou=Finance/uid=Sid Cerise
Administration Console では、ユーザープロファイルオブジェクト o=example.com/ou=Finance/uid=Sid Cerise
の名前属性として uid を必ず選択してください。
この組織階層では、ユーザーの設定は次のようになります。
Sid Cerise の設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
o=example.com/ou=Finance/uid=Sid Cerise
Finance 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
o=example.com/ou=Finance/cn=LDAP Profile
Marketing 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになり、これには組織階層の親オブジェクトから継承されたすべての設定が含まれます。
o=example.com/ou=Marketing/cn=LDAP Profile
ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile
で定義されたものになります
Microsoft Active Directory では、ローカルリポジトリにミラー化する必要のあるオブジェクトの LDAP 名と使用するオブジェクトのタイプは次のとおりです。
dc=例,dc=com
ドメインコンポーネントオブジェクトを使用します。
cn=Finance,dc=例,dc=com
Active Directory コンテナオブジェクトを使用します。
cn=Marketing,dc=例,dc=com
Active Directory コンテナオブジェクトを使用します。
Administration Console では、ディレクトリ (軽量) オブジェクトを作成してから正しい名前属性を選択することによって、ドメインコンポーネントと Active Directory コンテナを作成します。
図3.2「Microsoft Active Directory のミラー化された LDAP オブジェクトの例」 は、Administration Console でミラー化されたオブジェクトを示しています。
この構造が適切に配置されている場合は、ローカルリポジトリに次のユーザープロファイルオブジェクトを作成します。
dc=com/dc=例/cn=Finance/cn=LDAP Profile
dc=com/dc=例/cn=Marketing/cn=LDAP Profile
dc=com/dc=例/cn=Finance/cn=Sid Cerise
この組織階層では、ユーザーの設定は次のようになります。
Sid Cerise の設定は、次のユーザープロファイルオブジェクトで定義されたものになります。
o=example.com/ou=Finance/cn=Sid Cerise
Finance 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになります。
o=example.com/ou=Finance/cn=LDAP Profile
。
Marketing 部門のユーザーの設定は、次のユーザープロファイルオブジェクトで定義されたものになります。
o=example.com/ou=Marketing/cn=LDAP Profile
。
ほかのすべてのユーザーの設定は、デフォルトの LDAP ユーザープロファイル System Objects/cn=LDAP Profile
で定義されたものになります
SGD 設定をドメインコンポーネントおよび Active Directory コンテナオブジェクトから継承することはできません。
SGD では、管理者特権は、システムオブジェクト組織内の「Global Administrators」ロールオブジェクトを使用して管理されます。
「Global Administrators」ロールオブジェクトには、メンバーのリストと、割り当て済みアプリケーションのリストが含まれています。SGD 管理者はすべて、「Global Administrators」ロールオブジェクトのメンバーとして定義されます。管理ツールを SGD 管理者に割り当てる際には、割り当て済みのアプリケーションリストが使用されます。SGD 管理者には、割り当てられたその他のアプリケーションに加えて、これらのアプリケーションも割り当てられます。
SGD グラフィカル管理ツール、Administration Console、および Profile Editor を使用して SGD を構成できるのは SGD 管理者だけです。SGD コマンド行ツールを使用するためには、次の条件が適用されます。
SGD サーバーおよび SGD Web サーバーを制御するコマンドを実行できるのは、スーパーユーザー (root) だけです。
SGD サーバーのアレイを作成および管理するためのコマンドを実行できるのは、SGD 管理者だけです。
その他のコマンドはすべて、ttaserv
グループ内のどのユーザーでも実行できます。
ユーザーを ttaserv
グループのメンバーにするには、usermod -G
コマンドを使用します。ttaserv
グループは、ユーザーのプライマリグループまたは実効グループでなくてもかまいません。
SGD Administration Console または tarantella role コマンドを使用して、SGD 管理者を追加または削除できます。
「Global Administrators」ロールオブジェクトのメンバーとしてユーザープロファイルオブジェクトが定義されていない場合は、UNIX または Linux システムの root ユーザーに管理者特権が付与されます。
LDAP ディレクトリまたは Active Directory 認証を使用して SGD 管理者を認証する場合は、SGD 管理者のユーザープロファイルを作成する必要があります。詳細については、「LDAP ミラー化」を参照してください。
Administration Console で、「ユーザープロファイル」タブに移動します。
「Global Administrators」ロールオブジェクトを選択します。
ナビゲーションツリーで、「システムオブジェクト」をクリックします。
「システムオブジェクト」テーブルが表示されます。
「システムオブジェクト」テーブルで、「Global Administrators」ロールオブジェクトをクリックします。
「メンバー」タブが表示されます。
「メンバー」タブにユーザープロファイルオブジェクトを追加します。
「編集可能なメンバー」テーブルの「追加」をクリックします。
「ユーザー割り当ての追加」ウィンドウが表示されます。
ユーザープロファイルオブジェクトを検索します。
「検索」フィールドまたはナビゲーションツリーを使用して、必要なオブジェクトを検索します。
ユーザープロファイルオブジェクトの横にあるチェックボックスを選択します。
複数の SGD 管理者を追加するには、複数のユーザープロファイルオブジェクトを選択します。
「割り当ての追加」をクリックします。
「メンバー」タブが表示され、選択されているユーザープロファイルオブジェクトが示されます。
tarantella role add_member --role
global --member
pobj
コマンドも使用できます。
Administration Console で、「ユーザープロファイル」タブに移動します。
「Global Administrators」ロールオブジェクトを選択します。
ナビゲーションツリーで、「システムオブジェクト」をクリックします。
「システムオブジェクト」テーブルが表示されます。
「システムオブジェクト」テーブルで、「Global Administrators」ロールオブジェクトをクリックします。
「メンバー」タブが表示されます。
「メンバー」タブからユーザープロファイルオブジェクトを削除します。
「編集可能なメンバー」テーブルで、ユーザープロファイルオブジェクトの横にあるチェックボックスを選択します。
複数の SGD 管理者を削除するには、複数のユーザープロファイルオブジェクトを選択します。
「削除」をクリックします。
警告メッセージが表示されます。
「OK」をクリックします。
「メンバー」タブが表示されます。
tarantella role remove_member --role
global --member
pobj
コマンドも使用できます。