このセクションでは、ディレクトリサービスの設定を調整する方法について説明します。このセクションは、次のトピックから構成されます。
ログインフィルタを使用すると、どのユーザーが SGD にログインできるかを制御したり、どの属性を使用してユーザーを識別するかを指定したりすることができます。フィルタには、ユーザーログインフィルタとグループログインフィルタの 2 つがあります。
ログインフィルタは次の状況で設定することをお勧めします。
ユーザーがログインできない。ユーザーを識別するためにディレクトリで特定の属性が使用されている場合は、ユーザーが SGD にログインできない可能性があります。これを解決するには、SGD が追加の属性を検索するようにユーザーログインフィルタを構成します。
ログイン時間が遅い。SGD はユーザーを識別するときに複数の属性を確認するため、ディレクトリが大きい場合は、これによりログイン時間が遅くなることがあります。少数の属性をチェックするようにユーザーログインフィルタを変更することによって、ログイン時間を短縮できます。
ユーザーログインを制限する。どのユーザーが SGD にログインできるかを制限する場合は、グループログインフィルタまたはユーザーログインフィルタを構成します。
ログイン時間の改善やユーザーログインの制限のための代わりの方法については、「ディレクトリ検索ルートの使用」も参照してください。
SGD は、ユーザーの識別情報を確立するためにディレクトリを検索する場合は常に、ユーザーログインフィルタを使用してディレクトリ内のオブジェクトに関する属性を確認します。
LDAP およびサードパーティー認証の場合は、次のログインフィルタが使用されます。
(|(cn=${name})(uid=${name})(mail=${name}))
Active Directory 認証の場合は、次のログインフィルタが使用されます。
(|(cn=${user})(sAMAccountName=${user})(userPrincipalName=${user}@${domain})(userPrincipalName=${name})(mail=${name}))
これらのログインフィルタには、次の変数が含まれます。
${name}
– SGD ログインページでユーザーが入力したフルネーム
${user}
– ユーザー名の @
記号の前にある部分
${domain}
– ユーザー名の @
記号のあとにある部分。これは、サービスオブジェクトのベースドメイン、デフォルトドメイン、または接頭辞マッピングの設定を使用して、SGD で生成できます
ユーザーログインフィルタの変更方法については、「ユーザーログインフィルタを設定する方法」を参照してください。
グループ検索フィルタは、ユーザーのグループメンバーシップをテストすることによって、SGD にログインできる LDAP または Active Directory ユーザーを制限するために使用されます。ユーザーがグループのメンバーでない場合、そのユーザーは SGD にログインできません。
SGD にフィルタを適用する方法についての詳細は、「グループログインフィルタを設定する方法」を参照してください。
アレイ内のプライマリ SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。
アレイ内のプライマリ SGD サーバー上でスーパーユーザー (root) としてログインします。
SGD サーバーを停止します。
ユーザーログインフィルタを設定します。
この手順で誤りがあると、ユーザーがログインできなくなる可能性があります。
LDAP 認証およびサードパーティー認証では、次のコマンドを使用します。
# tarantella config edit \
--com.sco.tta.server.login.ldap.LdapLoginAuthority.properties-searchFilter filter
Active Directory 認証では、次のコマンドを使用します。
# tarantella config edit \
--com.sco.tta.server.login.ADLoginAuthority.properties-searchFilter filter
たとえば、uid
および mail
属性のみを検索するようにユーザーログインフィルタを構成するには、次のフィルタを使用します。
"(&(|(uid=\${name})(mail=\${name}))
"
たとえば、cn
および mail
属性のみを検索し、営業部門にいるユーザーのログインのみを許可するようにユーザーログインフィルタを構成するには、次のフィルタを使用します。
"(&(|(cn=\${name})(mail=\${name}))(department=sales))"
フィルタで変数を使用する場合は、$
記号をバックスラッシュでエスケープする必要があります。
SGD サーバーを起動します。
アレイ内のプライマリ SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。
アレイ内のプライマリ SGD サーバー上でスーパーユーザー (root) としてログインします。
SGD サーバーを停止します。
グループログインフィルタを設定します。
この手順で誤りがあると、ユーザーがログインできなくなる可能性があります。
グループログインフィルタを設定するには、次のコマンドを使用します。
# tarantella config edit \
--com.sco.tta.server.login.DSLoginFilter.properties-loginGroups group_dn
...
ここで、group_dn
は 1 つ以上の LDAP グループの DN です。
たとえば、cn=sgdusers
または cn=sgdadmins
のどちらかのグループのメンバーであるユーザーからのログインのみを許可するには、次のコマンドを使用します。
# tarantella config edit \ --com.sco.tta.server.login.DSLoginFilter.properties-loginGroups \ "cn=sgdusers,cn=groups,dc=example,dc=com" \ "cn=sgdadmins,cn=groups,dc=example,dc=com"
SGD サーバーを起動します。
ディレクトリ検索ルートを使用すると、どのユーザーが SGD にログインできるかを制御したり、LDAP または Active Directory 認証を使用しているときや、Directory Services Integration を使用してアプリケーションを割り当てるときのディレクトリ検索を高速化したりすることができます。
ディレクトリ検索ルートは、ユーザー識別情報を検索するために使用されるディレクトリの一部を指定します。検索ルートを指定するには、サービスオブジェクトの URL のあとに検索ルートを付加します。
たとえば、Active Directory ドメイン sales.example.com
内のユーザーを検索するには、次のようにします。
ad://example.com/dc=sales,dc=example,dc=com
この例の検索ルートを使用すると、sales.example.com
ドメイン内のユーザーのみが SGD にログインできます。
たとえば、LDAP OU sales
内のユーザーを検索するには、次のようにします。
ldap://ldap.example.com/ou=sales,dc=example,dc=com
この例の検索ルートを使用すると、sales
OU 内のユーザーのみが SGD にログインできます。
複数のサービスオブジェクトを使用すると、複数の検索ルートを指定できます。次の例の URL を使用すると、ドメイン sales.example.com
と marketing.example.com
内のユーザーのみが SGD にログインできます。
ad://example.com/dc=sales,dc=example,dc=com ad://example.com/dc=marketing,dc=example,dc=com
LDAP 検出タイムアウトは、SGD が、初期の接続リクエストに対するディレクトリサーバー (LDAP または Active Directory) からの応答を待つ期間を制御します。デフォルト値は 20 秒です。
SGD は、ディレクトリサーバーへの接続を 2 回試みます。応答がない場合、SGD は別のディレクトリサーバーを試行します。すべてのディレクトリサーバーがタイムアウトすると、SGD がユーザーを認証したり、ユーザーにアプリケーションを割り当てたりできなくなる可能性があります。
タイムアウト値を変更するには、次のコマンドを使用します。
$ tarantella config edit --tarantella-config-ldap-timeout secs
Active Directory 認証では、LDAP 検出タイムアウトは KDC タイムアウトよりも長くなければなりません。「KDC タイムアウト」を参照してください。たとえば、KDC タイムアウトが 10 秒で、再試行回数が 3 回の場合、LDAP 検出タイムアウトを 35 秒 (3 x 10 秒 + 追加の 5 秒) に設定します。KDC タイムアウトと LDAP 検出タイムアウトの関係は保持してください。KDC タイムアウトを増やした場合、LDAP 検出タイムアウトも増やしてください。
サービスオブジェクトは、次の SGD 認証メカニズムに使用されるディレクトリサービス構成設定のグループです。
Active Directory 認証。「Active Directory 認証」を参照してください。
LDAP 認証。「LDAP 認証」を参照してください
LDAP リポジトリ検索を使用するサードパーティー認証。「サードパーティー認証と Web 認証」を参照してください。
Active Directory 認証または LDAP 認証を有効にできます。同時に両方を有効にすることはできません。
SGD Administration Console の「グローバル設定」→「Secure Global Desktop 認証」タブにある認証ウィザードを使用してこれらの認証メカニズムのいずれかを有効にすると、SGD は generated
という名前のサービスオブジェクトを自動的に作成します。コマンド行でこれらの認証機構のいずれかを有効にすると、少なくとも 1 つのサービスオブジェクトを手動で作成する必要があります。
サービスオブジェクトは、SGD Administration Console の「グローバル設定」→「サービスオブジェクト」タブで作成および管理できます。「サービスオブジェクトのリスト」の表には、SGD アレイに使用可能なサービスオブジェクトが表示されます。
コマンド行では、tarantella service コマンドを使用してサービスオブジェクトを作成および管理します。
サービスオブジェクトに関しては、次の点に留意してください。
サービスオブジェクトにはタイプがある。これは、LDAP タイプまたは Active Directory タイプのいずれかです。このタイプによって、このオブジェクトをどの SGD 認証メカニズムが使用できるかが制御されます。Active Directory サービスオブジェクトは、Active Directory 機構でのみ使用されます。
サービスオブジェクトは有効または無効にできる。サービスオブジェクトは、認証に使用する前に有効にする必要があります。通常、サービスオブジェクトを無効にするのは、ディレクトリサービスが一時的に使用できないことがわかっている場合、または今後使用可能になることがわかっている場合のみです。
サービスオブジェクトには位置があります。SGD は、有効になっているサービスオブジェクトを「サービスオブジェクトのリスト」の表で指定された順序で使用します。リスト内の最初の有効なサービスオブジェクトを使用して認証またはユーザー識別ができなかった場合は、リスト内の次に有効なサービスオブジェクトが試されます。
Administration Console では、ディレクトリサーバーの URL、ユーザー名とパスワードなど、サービスオブジェクトで一般的に使用される設定のみを行うことができます。詳細は、「Active Directory サービスオブジェクトを作成する方法」および「LDAP サービスオブジェクトを作成する方法」を参照してください。
tarantella service new または tarantella service edit コマンドを使用してコマンド行からのみ構成できる高度なサービスオブジェクトの設定もいくつか存在します。
LDAP サービスオブジェクトタイプでの詳細設定は、次のとおりです。
AD サービスオブジェクトタイプでの詳細設定は、次のとおりです。
Administration Console で、「グローバル設定」→「サービスオブジェクト」タブを表示します。
「Service Objects List」の表で、「新規作成」ボタンをクリックします。
「Create New Service Object」ウィンドウが表示されます。
「名前」フィールドに、サービスオブジェクトの名前を入力します。
一度作成したサービスオブジェクトの名前は変更できません。名前には、小文字、数字、または _
や -
の文字のみを含めることができます。
「Type」の「Active Directory」オプションを選択します。
一度作成したサービスオブジェクトのタイプは変更できません。
(オプション) 「有効」チェックボックスの選択を解除します。
サービスオブジェクトは、SGD によって使用される前に有効になっている必要があります。サービスオブジェクトは、使用する準備ができていることを確認してから、有効にします。
「URL」フィールドに Active Directory フォレストの URL を入力します。
たとえば、「ad://example.com
」と入力します。
この URL は、ad://
で始まる必要があります。入力できる URL は 1 つだけです。
URL は一意である必要があります。異なるサービスオブジェクトで同じ URL を使用することはできません。
検索ベースとして使用する DN (ad://example.com/dc=sales,dc=example,dc=com
など) を指定できます。これは、ユーザー識別情報を検索するために使用されるディレクトリの一部を指定します。
URL への接続をテストするには、「テスト」ボタンを使用します。
Active Directory へのセキュリティー保護された接続を設定します。
セキュア接続のために Kerberos プロトコルのみを使用するには – 「接続のセキュリティー」の「Kerberos」オプションを選択し、「ユーザー名」および「パスワード」フィールドにユーザー名とパスワードを入力します。
デフォルトでは、Kerberos オプションが選択されています。
セキュア接続のために Kerberos と SSL を使用するには – 「接続のセキュリティー」の「SSL」オプションを選択し、「ユーザー名」および「パスワード」フィールドにユーザー名とパスワードを入力します。
セキュア接続のために Kerberos、SSL、およびクライアント証明書を使用するには – 「接続のセキュリティー」の「SSL」オプションを選択し、「証明書を使用する」チェックボックスを選択します。
SSL 接続を使用するために必要な追加の設定の詳細は、「Active Directory への SSL 接続」を参照してください。
ユーザー名を入力する場合、ユーザー名は user@example.com
の形式にします。ユーザー名のドメイン名を省略すると、SGD は「URL」、「ベースドメイン」、および「デフォルトドメイン」フィールド内の情報を使用してドメインを取得します。ユーザーは、Active Directory でユーザー情報を検索する権限が必要です。
(オプション) 「Active Directory ベースドメイン」フィールドに、ドメイン名の一部を入力します。
「Base Domain」は、ログイン時にドメインの一部だけが入力された場合に使用されます。たとえば、ベースドメインが example.com
に設定されているときに、ユーザーがユーザー名 rouge@west
でログインした場合、SGD はそのユーザーを rouge@west.example.com
として認証しようとします。
(オプション) 「Active Directory デフォルトドメイン」フィールドに、ドメイン名を入力します。
「Default Domain」は、ユーザーがログイン時にドメインを入力しなかった場合に使用されます。たとえば、デフォルトドメインが east.example.com
に設定されているときに、ユーザーがユーザー名 rouge
でログインした場合、SGD はそのユーザーを rouge@east.example.com
として認証しようとします。
「作成」ボタンをクリックします。
「Create New Service Object」ウィンドウが閉じ、サービスオブジェクトのエントリが「Service Objects」タブの最後の位置にある「Service Objects List」の表の一番下に追加されます。
「上に移動」および「下に移動」ボタンを使用して、表内のサービスオブジェクトの位置を変更します。
SGD は、有効になっているサービスオブジェクトを、それらのオブジェクトが示されている順序で使用します。
Administration Console で、「グローバル設定」→「サービスオブジェクト」タブを表示します。
「Service Objects List」の表で、「新規作成」ボタンをクリックします。
「Create New Service Object」ウィンドウが表示されます。
「名前」フィールドに、サービスオブジェクトの名前を入力します。
一度作成したサービスオブジェクトの名前は変更できません。名前には、小文字、数字、または _
や -
の文字のみを含めることができます。
「Type」で、「LDAP」オプションを選択します。
LDAP 認証で Microsoft Active Directory サーバーを使用している場合でも、このオプションを選択してください。
一度作成したサービスオブジェクトのタイプは変更できません。
(オプション) 「有効」チェックボックスの選択を解除します。
サービスオブジェクトは、SGD によって使用される前に有効になっている必要があります。サービスオブジェクトは、使用する準備ができていることを確認してから、有効にします。
「URL」フィールドに、1 つ以上の LDAP ディレクトリサーバーの URL を入力します。
たとえば、「ldap://melbourne.example.com
」と入力します。
複数の URL を入力する場合は、各 URL をセミコロン (;) で区切ります。
SGD は、一覧表示されている順序で URL を使用します。リスト内の最初の LDAP ディレクトリサーバーを使用できない場合に、次の LDAP ディレクトリサーバーの使用が試みられます。
LDAP ディレクトリサーバーへのセキュア接続を使用するには、ldaps://
の URL を使用します。
LDAP サービスオブジェクト用に構成される URL はすべて、ldap://
または ldaps://
のどちらかの同じタイプである必要があります。ldap://
と ldaps://
の URL を混在させて使用することはできません。
LDAP ディレクトリが標準以外のポートを使用する場合は、そのポート番号を URL の一部として指定します (たとえば、ldap://melbourne.example.com:5678
)。非標準ポートを使用しない場合、ポート番号は省略できます。
検索ベースとして使用する DN (ldap://melbourne.example.com/dc=example,dc=com
など) を指定できます。これにより、ユーザー識別情報の検索に使用する LDAP ディレクトリの一部が指定されます。
URL は一意である必要があります。異なるサービスオブジェクトで同じ URL を使用することはできません。
URL への接続をテストするには、「テスト」ボタンを使用します。
「User Name」および「Password」フィールドに LDAP ユーザーの詳細情報を入力します。
このユーザー名は、ユーザーの DN である必要があります (たとえば、cn=sgd-user,cn=Users,dc=example,dc=com
)。これは管理者バインド DN です。詳細は「LDAP のバインド DN とパスワードの変更」を参照してください。
入力できるユーザー名とパスワードは 1 組だけであるため、このユーザーが「URL」フィールドに記載されたすべての LDAP ディレクトリサーバーを検索できる必要があります。
ディレクトリサーバーで匿名バインドがサポートされる場合、ユーザー名とパスワードは省略できます。匿名バインドを使用するには、ユーザーデータに対して LDAP クエリーを実行できる必要があります。
「作成」ボタンをクリックします。
「Create New Service Object」ウィンドウが閉じ、サービスオブジェクトのエントリが「Service Objects」タブの最後の位置にある「Service Objects List」の表の一番下に追加されます。
「上に移動」および「下に移動」ボタンを使用して、表内のサービスオブジェクトの位置を変更します。
SGD は、有効になっているサービスオブジェクトを、それらのオブジェクトが示されている順序で使用します。
次の情報は、LDAP および Active Directory サービスオブジェクトタイプに適用されます。「サービスオブジェクトの使用」を参照してください。
SGD は、ユーザーのパスワードの期限切れを次の方法で処理できます。
Web トップに警告メッセージを表示し、パスワードの有効期限が近付いていることをユーザーに通知する
認証を拒否し、次回のログイン時にパスワードのリセットをユーザーに強制します。
パスワードの有効期限機能は、デフォルトでは無効になっています。
認証およびパスワードの有効期限に関する重要な情報については、「Active Directory パスワードの有効期限」および 「LDAP のバインド DN とパスワードの変更」を参照してください。
パスワードの有効期限機能は、サービスオブジェクトごとに別々に設定します。たとえば、mainldap
サービスオブジェクトに対して LDAP パスワードの有効期限機能を有効にするには、次のコマンドを使用します。
$ tarantella service edit --name mainldap --check-pwd-policy 1
この設定により、パスワードの有効期限が切れる前の 7 日間、Web トップ上に警告メッセージが表示されます。パスワードの有効期限が切れる 1 日前に、SGD は、ユーザーにパスワードの変更を強制します。これらはデフォルトです。
パスワードの有効期限機能が有効にするタイミングは制御できます。次の例では、mainldap
サービスオブジェクトに対してパスワードの有効期限機能が有効になっています。SGD は、パスワードの有効期限が切れる 14 日 (1209600 秒) 前に警告メッセージを表示するように構成され、ユーザーは有効期限が切れる 3 日 (259200 秒) 前にパスワードを変更するよう強制されます。
$ tarantella service edit --name mainldap --check-pwd-policy 1 \ --pwd-expiry-warn-threshold 1209600 \ --pwd-expiry-fail-threshold 259200
次の情報は、LDAP サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
デフォルトでは、SGD は、LDAP ユーザーとしてバインドを実行することによってパスワード変更を実行します。詳細については、「LDAP のバインド DN とパスワードの変更」を参照してください。
パスワードの更新モードは、LDAP サービスオブジェクトごとに別々に設定できます。たとえば、mainldap
サービスオブジェクトに対して管理者バインドを使用するには、次のコマンドを使用します。
$ tarantella service edit --name mainldap --password-update-mode ldapadmin
次の情報は、Active Directory サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
Active Directory のサイトオブジェクトは、サブネットを含むオブジェクトです。
サービスオブジェクトに対してサイト認識が有効になっている場合、SGD は、グローバルカタログに接続することによってサイト情報を自動的に検出しようとします。また、サービスオブジェクトに対して独自のサイト名を設定することもできます。
SGD は、サイト情報を保持している場合、そのサイトに適した Active Directory サーバーに対してのみクエリーを実行します。
ホワイトリストを設定する場合、サービスオブジェクトのサイト設定は無視されます。詳細は、「ホワイトリスト」を参照してください。
サイトの使用方法については、「Active Directory 認証と LDAP 検出」を参照してください。
サイトは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してサイト認識を有効にするには、次のコマンドを使用します。
$ tarantella service edit --name east --site-aware 1
たとえば、east
サービスオブジェクトに対して boston
のサイト名を構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --site-aware 1 --site-name boston
次の情報は、Active Directory サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
ホワイトリストは、LDAP クエリーに常に使用されるグローバルカタログサーバーのリストです。ホワイトリストに含まれるサーバーのみが LDAP クエリーで使用されます。
ホワイトリストを設定する場合、サービスオブジェクトのサイト設定は無視されます。詳細は、「サイト」を参照してください。
ホワイトリストのサーバーの順序は重要です。SGD は、リスト内の最初のサーバーに接続できない場合、次のサーバーを試行します。
ホワイトリストの使用方法については、「Active Directory 認証と LDAP 検出」を参照してください。
ホワイトリストは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してホワイトリストを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --white-list \ "good1.east.example.com" "good2.east.example.com"
次の情報は、Active Directory サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
ブラックリストは、サーバーが一時的に使用できないなどの理由で、LDAP クエリーに決して使用されない Active Directory サーバーのリストです。ブラックリストは、サイトやホワイトリストなどの他の設定を置き換えます。
ブラックリストは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してブラックリストを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --black-list \ "bad1.east.example.com" "bad2.east.example.com"
次の情報は、Active Directory サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
Active Directory からユーザー情報を検索する場合、SGD は、デフォルトではユーザーのドメインのドメインコントローラを使用します。
ドメインコントローラにはユーザー情報のもっとも完全で、かつ信頼できるソースが含まれていますが、SGD でドメインコントローラとグローバルカタログの両方への接続を管理する必要があるため、タイムアウトや遅延時間が長くなる場合があります。代わりに、ユーザー情報をグローバルカタログからのみ検索するように SGD を構成できます。
このオプションを有効にした場合は、SGD がユーザーの「最後に設定されたパスワード」属性にアクセスできないため、サービスオブジェクトのパスワードの有効期限オプションは使用できません。詳細については、「パスワードの有効期限」を参照してください。また、SGD がドメインのローカルセキュリティーグループ情報にアクセスできないため、グループ情報へのアクセスも削減されます。
このオプションの使用方法については、「Active Directory 認証と LDAP 検出」を参照してください。
グローバルカタログのみを検索するかどうかは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してグローバルカタログのみの検索を有効にするには、次のコマンドを使用します。
$ tarantella service edit --name east --ad-alwaysusegc 1
このコマンドを実行したあとで、LDAP データのキャッシュをフラッシュする必要があります。アレイ内のすべての SGD サーバー上で、スーパーユーザー (root) として次のコマンドを実行します。
# tarantella cache --flush all
次の情報は、Active Directory サービスオブジェクトと、Active Directory に接続されている LDAP サービスオブジェクトに適用されます。「サービスオブジェクトの使用」を参照してください。
接頭辞マッピングにより、ユーザーが入力したドメインタイプを認証ドメインに再マッピングすることができます。
接頭辞マッピングは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対して接頭辞マッピングを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --suffix-mappings \ "test.east.example.com=east.example.com"
各接頭辞マッピングの形式は suffix=domain
です。複数のマッピングがある場合は、各マッピングをスペースで区切ります。
次の情報は、Active Directory サービスオブジェクトタイプにのみ適用されます。「サービスオブジェクトの使用」を参照してください。
SGD は起動すると、構成されている Active Directory フォレストに接続したあと、必要な個々のドメインにのみ接続します。場合によっては、SGD がドメインへの接続を確立している間、ログイン中のユーザーに遅延が発生することがあります。SGD が起動するときに SGD に接続先のドメインのリストを提供することによって、パフォーマンスが向上する場合があります。
ドメインリストは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してドメインリストを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --domain-list \ "boston.east.example.com" "cambridge.east.example.com"
複数のドメインがある場合は、各ドメイン名をスペースで区切ります。
ドメインリストによって認証に使用される Active Directory ドメインが制限されることはありません。
次の情報は、LDAP および Active Directory サービスオブジェクトタイプに適用されます。「サービスオブジェクトの使用」を参照してください。
ルックアップキャッシュのタイムアウトは、ユーザーがログインしたあと、SGD が LDAP ユーザーのデータを保持する期間を制御します。デフォルトは 1200 秒 (20 分) です。
LDAP データがそれほど頻繁に変更されない場合は、このタイムアウトを増やすことをお勧めします。
ルックアップキャッシュのタイムアウトは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してルックアップキャッシュのタイムアウトを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --lookupcache-timeout secs
次の情報は、LDAP および Active Directory サービスオブジェクトタイプに適用されます。「サービスオブジェクトの使用」を参照してください。
LDAP ディレクトリサーバーまたは Active Directory サーバーの LDAP 検索に時間がかかる場合のために、LDAP タイムアウトを設定できます。LDAP タイムアウトは、SGD が LDAP 操作 (データへのリクエストなど) に対するディレクトリサーバーからの応答を待つ期間を制御します。デフォルト値は 20 秒です。
SGD は、ディレクトリサーバーへの接続を 2 回試みます。応答がない場合、SGD はリスト内の別のディレクトリサーバーを試行します。Active Directory サービスオブジェクトの場合、SGD が接続するサーバーについての詳細は、「Active Directory 認証と LDAP 検出」を参照してください。LDAP サービスオブジェクトの場合、LDAP サーバーのリストはサービスオブジェクトに対して設定された URL に基づいています。
すべてのディレクトリサーバーがタイムアウトすると、SGD がユーザーを認証したり、LDAP を使用してアプリケーションを割り当てたりできなくなる可能性があります。
LDAP 操作のタイムアウトは、サービスオブジェクトごとに別々に設定できます。たとえば、east
サービスオブジェクトに対してタイムアウトを構成するには、次のコマンドを使用します。
$ tarantella service edit --name east --operation-timeout secs
Active Directory 認証では、ユーザーが Kerberos を使用して認証されると、SGD は Active Directory の LDAP 検索を実行して、ユーザー識別情報やその他のユーザー情報を確立します。デフォルトでは、SGD は次の手順を実行して LDAP 情報を検出します。
グローバルカタログに対する DNS 検索。SGD は、サービスオブジェクトに対して構成された URL を使用して DNS 検索を実行することにより、フォレストのグローバルカタログサーバーのリストを取得します。
グローバルカタログに対する LDAP クエリー。SGD はグローバルカタログに対して LDAP クエリーを実行して、ユーザー識別情報を確立します。
SGD は、DNS 検索から返された順序でグローバルカタログサーバーに対してクエリーを実行します。SGD は、最初のグローバルカタログに接続できない場合、リスト内の次のサーバーを試行します。
ドメインコントローラに対する DNS 検索。SGD は、ユーザーのドメインのドメインコントローラに対して DNS 検索を実行します。
この検索に使用されるドメインは、ユーザーがログイン時に入力したドメイン、またはデフォルトのドメインおよびサービスオブジェクトに対して設定されたベースドメインを使用して構築されたドメインのいずれかです。
ドメインコントローラに対する LDAP クエリー。SGD はドメインコントローラに対して LDAP クエリーを実行して、グループメンバーシップなどの、ユーザーの完全な属性セットを確立します。
SGD は、DNS 検索から返された順序でドメインコントローラに対してクエリーを実行します。SGD は、最初のドメインコントローラに接続できない場合、リスト内の次のサーバーを試行します。
サービスオブジェクトの設定が、LDAP 情報の検出に重大な影響を与える可能性があります。「サービスオブジェクトの使用」を参照してください。次の表は、SGD によって実行される手順に対するサービスオブジェクトの影響をまとめたものです。
サービスオブジェクトの構成オプション | 実行される手順 | 注記 |
---|---|---|
ホワイトリスト | 2, 3, 4 | LDAP クエリーは、ホワイトリスト内のグローバルカタログに対してのみ実行されます。 |
グローバルカタログの検索 | 1, 2 | DNS 検索と LDAP クエリーは、グローバルカタログに対してのみ実行されます。 ドメインコントローラに対して実行される操作はありません。 |
ホワイトリスト グローバルカタログの検索 | 2 | LDAP クエリーは、ホワイトリスト内のグローバルカタログに対してのみ実行されます。 ドメインコントローラに対して実行される操作はありません。 |
サイト認識 サイト名 | 1, 2, 3, 4 | DNS 検索は、設定されたサイトのグローバルカタログとドメインコントローラに対してのみ実行されます。 |
サイト認識 サイト名 グローバルカタログの検索 | 1, 2 | DNS 検索は、設定されたサイトのグローバルカタログに対してのみ実行されます。 ドメインコントローラに対して実行される操作はありません。 |
サイト認識 | 1, 2, 3, 4 | SGD は、追加の DNS 検索を実行してグローバルカタログのリストを取得したあと、グローバルカタログに対して LDAP ping を実行してサイト名を検出します。 DNS 検索は、検出されたサイトのグローバルカタログとドメインコントローラに対してのみ実行されます。 |
サイト認識 グローバルカタログの検索 | 1, 2 | SGD は、追加の DNS 検索を実行してグローバルカタログのリストを取得したあと、グローバルカタログに対して LDAP ping を実行してサイト名を検出します。 DNS 検索は、検出されたサイトのグローバルカタログに対してのみ実行されます。 ドメインコントローラに対して実行される操作はありません。 |