Active Directoryまたは他のLDAPサーバーのユーザーおよびグループをHPDMへのログインに使用できます。これによって、
既存のログイン アカウントを再利用できるとともに、HPDMの管理者権限を持つユーザーの管理が簡素化されます。
ユーザー認証を含むLDAPサーバー構成情報は、HPDMで設定する必要があります(「LDAP設定」を参照してください)。 HPDMは構成情報を使用して、指定されたLDAPサーバーに接続します。LDAPユーザーとグループをHPDMにインポート する必要があります(「ユーザーおよびグループのインポート」を参照してください)。
LDAPサーバーの構成と、インポートされた基本的なユーザーおよびグループの情報は、HPDMのデータベースに保存さ れます。HPDMは、LDAPユーザーのパスワードを保存しません。(ユーザーがHPDMにログインしたときにのみLDAPサー バーに転送されます)
インポートが完了したら、LDAPユーザーまたはグループとしてHPDMにログインできます。
• HPDMは、「domain\account」などの完全なドメイン アカウント名を使用したログインをサポートしています。
• HPDMは、複数の信頼できるドメインをサポートしています。
• HPDMはユニバーサル グループをサポートします。
• HPDMはサブグループをサポートします。
HPDM内部ユーザーの場合、HPDMは自動的に認証します。LDAPアカウントを使用してHPDMにログインする場合、LDAP
1. [Configuration Management](設定の管理)ダイアログ ボックスの左側のツリー枠で、[LDAP Settings](LDAP設定)
を選択します。
2. [Add](追加)を選択すると、新しいLDAP設定を作成できます。
3. LDAP設定の名前を入力して、[OK]を選択します。
4. [Host](ホスト)フィールドにLDAPサーバーのホスト名またはIPアドレスを入力します。暗号化された接続を使用
する場合は、サーバー証明書のサブジェクト代替名にIPアドレスが含まれていることを確認してください。それ 以外の場合、LDAPサーバーはホスト名で指定する必要があります。
5. 必要な場合は、[Port](ポート)を調整します。ポート389は、TLSまたは非暗号化LDAP接続に最もよく使用されて いるポートです。ポート636は、SSL LDAP接続によく使用されているポートです。
6. [Encryption](暗号化)のタイプを選択します。
7. TLSまたはSSL暗号化を使用する場合は、[Host Key](ホスト キー)を指定する必要があります。以下のどれか1つ
を実行します。
[Get Key From Host](ホストからのキーの取得)を選択します。LDAPサーバーへの接続が作成され、ホスト キーが保存 されます。
または
[Import From File](ファイルからのインポート)を選択します。次のどちらかの形式のホスト キー証明書ファイルを参 照します。
キー エクスポート ファイル:ホスト キーはLDAPサーバーからファイルにエクスポートされることがよくあります。
Microsoft Active Directory/IISプラットフォームでは、このファイルを以下の場所から取得できます。
http://<LDAPサーバーのアドレス>/certsrv/certcarc.asp
Java KeyStore:以前のHPDMインストールのhpdmcert.keyファイル、または他のJava KeyStoreファイルをインポートでき ます。
8. [Server Type](サーバー タイプ)セクションで、LDAPサーバーの種類を[Type](種類)メニューから選択します。
[Active Directory]:Active Directoryの[Domain](ドメイン)を指定します。単一のドメインのみがサポートされています。
[Generic LDAP](汎用LDAP):
• [Base DN](ベースDN)を指定します。ベースDN(識別名)は、LDAPサーバーへの接続に必要になります。ベースDN
について詳しくは、LDAPサーバーの説明書を参照してください。
ベースDNの例:
dc=testnet,dc=com o=company,c=US
• [RDN Attribute](RDN属性)を指定します。RDN(相対識別名)属性は、ユーザーのログイン名を指定するLDAP属性
です。これの一般的な値は、sAMAccountName(Active Directory)、UID、CNなどです。
9. [Search User](ユーザーの検索)を設定します。このユーザーの検索は、2つの状況で使用されます。つまり、
[Import Users and Groups](ユーザーおよびグループのインポート)ダイアログ ボックスによってLDAPサーバーを
参照する場合、およびインポートされたグループのメンバーを動的に決定する場合です。LDAPが匿名検索をサ ポートしていない場合、ユーザーの検索を指定する必要があります。匿名ユーザーを使用するには、ユーザー名 およびパスワードを空白のままにします。
このユーザー名は識別名として指定してください。
Active Directoryに関する注記:識別名は、通常のログイン名の代わりにLDAP CN属性を使用します。LDAP CNを決定する には、ドメイン コントローラーで[Active Directory Users and Computers](Active Directoryユーザーとコンピューター)を 開き、[Search User]を選択します。[Display Name](表示名)が[Properties](プロパティ)ウィンドウの[General](全般)
タブに表示されます。これがLDAP CNです。
たとえば、ドメイン「testnet.com」のユーザー ディレクトリの表示名「HPDM search user」の場合、DNは次のようにな ります。
CN=hpdm search user,CN=Users,DC=testnet,DC=com
10. 最後に、[Test](テスト)ボタンを選択して設定をテストします。LDAPサーバーの設定が正常に完了すると、この テストに合格します。
注:
HPDMは、単一のドメイン認証および複数の信頼済みドメイン認証の両方をサポートしています。
ユーザーおよびグループのインポート
LDAPサーバーが構成されたら、次にユーザーとグループをインポートする必要があります。このインポート プロセス
では、ログインが許可されているLDAPユーザーとログイン後の権限がHPDMに伝えられます。
インポート ツールを開くには、以下の操作を行います。
左側のパネルでLDAP設定を1つ選択し、[Import users and groups](ユーザーおよびグループをインポートする)を選択 します。
[Import Users and Groups](ユーザーおよびグループのインポート)ダイアログ ボックスでは、参照および検索によっ
てユーザーまたはグループを探すことができます。LDAPオブジェクトのプロパティは[Show Attributes](表示属性)ボ タンを使用して評価できます。ユーザーおよびグループを追加してからインポートできます。
ユーザーまたはグループを参照するには、以下の操作を行います。
1. [Import Users and Groups]ダイアログ ボックスが[Browse](参照)モードで開きます。ダイアログ ボックスの左側
に、LDAPオブジェクトのツリーが表示されます。
2. ディレクトリの左にある+ボタンを選択すると、ディレクトリを展開できます。
3. LDAPツリーの一部の場所では、複数の結果が表示される場合があり、その場合は[Show 20 more](さらに20個を
表示)と表示されます。選択すると、より多くの結果が表示されます。
ユーザーまたはグループを検索するには、以下の操作を行います。
1. [Import Users and Groups]ダイアログ ボックスの左上で[Search]タブを選択します。
2. 検索は[Base DN](ベースDN)を起点として実行されます。すべての検索はこの起点から再帰的に実行されます。
3. [Query](クエリ)では、検索対象を指定できます。ここには、属性、検索値、およびその2つの間の比較演算子の
3つの部分が含まれます。
a. クエリの左側の属性には、検索に使用する一般的な属性がいくつか用意されています。必要な検索属性がない 場合は、属性をこのフィールドに入力します。
b. クエリの右の検索値では、検索対象を指定します。検索値の一部としてアスタリスク(*)を使用できます。こ のため、完全な検索値が不明な場合でも検索できます。たとえば、値「*[email protected]」に等号比較を指 定して属性UIDを検索した場合、「[email protected]」で終わるUIDを持つ全ユーザーが一致します。
c. クエリの中央の比較演算子には、属性の値を検索対象と比較するいくつかの方法が用意されています。
• 比較演算子「等しい」(=)を選択すると、検索値と等しいLDAPオブジェクトが検出されます。
• 比較演算子「より大きいか等しい」(>=)を選択すると、検索値より数値的に大きい属性値を持つLDAPオブ ジェクトが検出されます。
• 比較演算子「より小さいか等しい」(<=)を選択すると、検索値より数値的に小さい属性値を持つLDAPオブ ジェクトが検出されます。
• 比較演算子「類似する」(~=)を選択すると、検索値と類似する属性値が検索されます。
• 比較演算子「等しくない」(!=)を選択すると、検索値と等しくない属性値が検索されます。
4. [Search](検索)を選択します。左側の[Search]ツリーに結果が表示されます。
ユーザーまたはグループをインポート一覧に追加するには、以下の操作を行います。
1. [Browse](参照)または[Search](検索)のどちらかを使用して、ユーザーまたはグループを見つけます。
2. 以下のどちらかの方法でユーザーまたはグループを追加します。
ユーザーまたはグループを選択します。
または
ユーザーまたはグループを選択し、[Add](追加)を選択します。
3. ユーザーまたはグループが右側に表示されます。
注:
ユーザーとグループは右下隅の[Import](インポート)ボタンを選択するまでインポートされません。グループをイン ポートした後は、グループの権限を割り当てる必要があります(「グループへの権限の割り当て」を参照してください)。
ユーザーまたはグループをインポート一覧から削除するには、以下の操作を行います。
1. [Import Users and Groups]ダイアログ ボックスの右側でユーザーまたはグループを選択します。
2. [Remove](削除)を選択します。
ユーザーまたはグループを確認するには、以下の操作を行います。
複数の信頼できるドメインへのログイン
親ドメインと複数の信頼できる子ドメインがある場合、ユーザー認証に使用する単一の親ドメインを構成することに より、異なる子ドメイン アカウントでHPDMにログインできます。
環境:
親ドメイン
• ドメイン:hpdm.com
• ホスト:192.168.231.150
• ユーザー認証アカウント:CN=Administrator,CN=Users,DC=hpdm,DC=com 子ドメイン
• ドメイン:test.hpdm.com
• ホスト:192.168.231.152
• ユーザー認証アカウント: CN=Administrator,CN=Users,DC=test,DC=hpdm,DC=com
• インポートされたユーザー: CN=tester,CN=Users,DC=test,DC=hpdm,DC=com HPDM Server
• ホスト:192.168.231.138 DNSサーバー
HPDM Serverがドメイン名を使用して親ドメイン サーバーと子ドメイン サーバーの両方と通信できるように、DNSサー
バー戦略を設定する必要があります。
1. 親ドメインと子ドメインが同じDNSサーバーを使用している場合、HPDM ServerのDNSはこのDNSサーバーを指す必 要があります。
2. 親ドメインと子ドメインが異なるDNSサーバーを使用している場合は、親ドメインと子ドメインの両方のDNSサー バーのフォワーダーが相互に指定していることを確認してください。次に、HPDM ServerのDNSが親ドメインのDNS サーバーを指すようにします。
親ドメインと子ドメインのフォワーダーが相互に指定するようにするには、以下の操作を行います。
a. 親ドメインのDNSサーバーで、[フォワーダー]タブを選択し、[編集]を選択します。子ドメインのDNSサーバーのIPア ドレスを入力します。
b. 子ドメインのDNSサーバーで、[フォワーダー]タブを選択し、[編集]を選択します。親ドメインのDNSサーバーのIPア ドレスを入力します。