Secure Global Desktop 4.31 管理者ガイド
> アプリケーション、ドキュメント、ホスト
> Directory Services Integration の使用Secure Global Desktop 4.31 管理者ガイド
> アプリケーション、ドキュメント、ホスト
> Directory Services Integration の使用
Secure Global Desktop Directory Services Integration (DSI) では、ENS の代わりに LDAP version 3 ディレクトリを使用してユーザー情報を管理することができます。DSI には、ENS の人物オブジェクトは必要ありません。必要に応じて Secure Global Desktop 管理者 などの ENS 人物オブジェクトを使用することもできますが、DSI を使用するときに ENS の LDAP 組織をミラー化する必要はありません。
DSI を使用するときは、人物オブジェクトの代わりにアプリケーションオブジェクト (またはグループオブジェクト) を設定します。つまり、どの LDAP ユーザーの Webtop にアプリケーションを表示するかは、アプリケーションに定義することになります。
DSI を使用するには、LDAP ディレクトリサーバーから発行される識別情報をユーザーに割り当てる必要があります。つまり、次のいずれかの方法を使用してユーザーが認証されている必要があります。
どのログインプロファイルが使用されるかは、どの方法を使用してユーザーを認証したかによって異なります。ただし、ENS の LDAP 組織をミラー化しない場合は、デフォルトの LDAP プロファイルオブジェクト (o=Tarantella System Objects/cn=LDAP Profile) が使用されます。
DSI を使用すると Webtop コンテンツは集約されるので、ユーザーは次の場所からアプリケーションを受け取ることができます。
現在のところ、DSI を使用するには次の環境が必要です。
注 その他の LDAP ディレクトリサーバーで使用できる場合もありますが、サポート対象ではありません。
DSI を有効にするには、次の手順を実行します。
o=Tarantella System Objects/cn=LDAP Profile オブジェクトを設定することもできます。Object Manager が管理するすべてのアプリケーション、ドキュメント、およびグループオブジェクトには、「Directory Services Integration」パネルが表示されます。このパネルの属性を使用して、どの LDAP ユーザーにアプリケーションまたはドキュメントを表示するかを設定します。グループオブジェクトの場合は、そのグループに含まれるすべてのアプリケーションとドキュメントに設定が適用されます。「Directory Services Integration」パネルには、次の属性があります。
「LDAP users」属性には、LDAP ディレクトリに含まれるユーザーのうち、そのアプリケーションを Webtop に表示するユーザーの識別名 (DN) を指定します。
たとえば、Finance 部門の Sid Cerise に Cust-o-dat アプリケーションへのアクセスを許可する場合は、次の操作を実行します。
Cust-o-dat アプリケーションオブジェクトを編集します。uid=Sid Cerise,ou=Finance,o=indigo-insurance.com
注 複数のユーザーをアプリケーションまたはグループオブジェクトに割り当てる場合は、「LDAP Search」属性を使用する方が効率的です。
「LDAP Groups」属性には、LDAP ディレクトリに含まれるグループのうち、そのアプリケーションを Webtop に表示するグループの DN を指定します。LDAP グループのすべてのメンバーが、そのアプリケーションを受け取ります。
たとえば、Finance および Marketing 部門のマネージャーに一連のアプリケーションを割り当てる場合は、次の操作を実行します。
cn=managers,ou=Finance,o=indigo-insurance.com cn=managers,ou=Marketing,o=indigo-insurance.com
注 複数のグループをアプリケーションまたはグループオブジェクトに割り当てる場合は、「LDAP Search」属性を使用する方が効率的です。
「LDAP Searches」属性には、そのアプリケーションを Webtop に表示するユーザーを指定するために使用する、RFC 2254 検索フィルタ または RFC 1959 LDAP URL、あるいはその両方を指定します。
たとえば、Sales 部門のすべてのマネージャー、および Violet Carson マネージャーのすべてのメンバーにアプリケーションを割り当てる場合は、次の操作を実行します。
"(&(job=manager)(dept=Sales))" "(manager=Violet Carson)"
注 「LDAP Search」属性の LDAP 検索 URL を使用することもできます。次に例を示します。
"ldap:///ou=Sales,dc=indigo-insurance,dc=com??sub?job=manager".
Directory Services Integration を使用するときには、LDAP ディレクトリサーバーとの間で多数のトラフィックが往復することになります。このため、大量のネットワークトラフィックが生成され、パフォーマンスが低下する可能性があります。
可能な場合は、「LDAP Search」属性を使用することをお勧めします。ほかの属性に比べて、効率的で柔軟性が高いためです。「LDAP Users」属性と「LDAP Groups」属性は、できるだけ使用しないようにしてください。
Secure Global Desktop は、LDAP グループのメンバーを検索するときに、グループオブジェクトの uniquemember、member、および uniqueMember 属性に含まれるユーザーを検索します。
ユーザーを一意に識別するために必要な情報がこれらの属性に含まれていない場合 (ユーザーの相対識別名 (RDN) だけが含まれている場合など)、そのグループ検索は失敗します。
Secure Global Desktop では、ユーザーの識別に使用できる短縮名属性を 1 つ以上指定できます。ユーザーの短縮名属性の値がそのグループのグループメンバーシップ属性 (uniquemember、member、および uniqueMember) のいずれかに含まれる場合、そのユーザーはグループのメンバーと見なされます。短縮名属性が有効に機能するには、一意の値が含まれている必要があります。
1 つ以上の短縮名属性を指定するには、次の操作を実行します。
tarantella stoptarantella config edit \
--com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-userShortAttributes-append attribute tarantella start追加した属性をグループメンバーシップ属性として指定するには、次の操作を実行します。
tarantella stoptarantella config edit \
--com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-directAttributes-append attribute tarantella startデフォルトでは、LDAP グループ検索は LDAP グループのすぐ下の階層だけを検索します。入れ子のグループ (サブグループ) が組織で使用されている場合は、より深い階層に検索範囲を広げることができます。次の手順を実行します。
tarantella stoptarantella config edit \
--com.sco.jndi.toolkit.utils.LDAPUserCollection.properties-maximumGroupDepth depth
tarantella startデフォルトの深さは "0" です。入れ子のグループの深さに合わせてこの値を大きくしてください。深さの値を大きくすると、パフォーマンスは低下します。
Secure Global Desktop は、LDAP ディレクトリサーバーから収集したデータをキャッシュします。Secure Global Desktop が変更を検出していない場合は、tarantella cache コマンドを使用して、キャッシュされたデータを手動で消去できます。
Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.