LDAP 準拠のセキュリティ領域の設定

Agent のインストールおよび構成 > Windchill RV&S Agentセキュリティ > LDAP 準拠のセキュリティ領域の設定

LDAP 準拠のセキュリティ領域の設定

Kerberos または LDAP 認証ドメインでのセキュリティ設定を使用する場合は、セキュリティ領域を設定する必要があります。セキュリティ領域を設定するには、次の手順に従います。

• 領域のプロパティを設定します。

• ディレクトリサーバーから返されたエントリ数に対するバッチサイズを確認します。

• 必要に応じて、Secure Sockets Layer を使用するように領域を設定します。

• フェールオーバー設定を確認します。

セキュリティ領域プロパティの設定

security.properties ファイルで LDAP 準拠のセキュリティ領域のプロパティを設定します。一般的な設定は、サポートされている次の各領域で事前に構成されています。

• OpenLDAP サーバー

• Microsoft Active Directory Services (ADS)

• Netscape ディレクトリサーバー

• サポートされているすべてのサーバー上の RFC 2307 ベーススキーマ

• Novell Directory Services

セキュリティ領域と通信するように Windchill RV&S Agent を設定するには、セキュリティ領域に対応するプロパティのコメントを解除し、この項に記載されているサーバー、ユーザー、グループ、およびメンバーシップのプロパティを編集します。

LDAP 準拠のセキュリティ領域がどのように実装されているかを理解しておく必要があります。少なくとも、識別名 (DN)、LDAP 検索フィルタ、および LDAP スキーマについてよく理解している必要があります。

セキュリティ領域のプロパティの詳細については、LDAP ドキュメンテーション、または Web で入手できる他のリソースを参照してください。¹

Windchill RV&S Agent では、LDAP v3 セキュリティ領域のパスワード期限切れ機能がサポートされています。この機能をサポートしている LDAP サーバーは、Sun One、iPlanet、Netscape のディレクトリサーバーだけです。

LDAP バインド資格情報のプロパティ

これらの設定は、ユーザーおよびグループを列挙する際に使用される LDAP バインド資格情報を確立します。

プロパティ	説明
ldap.host	LDAP サーバーのホスト名 (または IP アドレス)。
ldap.port	接続先の LDAP サーバーポート。デフォルトでは、クリアプロトコルを使用した接続用の server.port は 389 で、プライベートプロトコルを使用した接続用は 636 です。
ldap.principal	LDAP サーバーに接続するために使用するユーザーおよびプリンシパルの識別名 (DN)。プリンシパルは、非特権ユーザー (つまり読み取り専用アクセス) であることが必要です。
ldap.credential	上記のユーザーおよびプリンシパルのパスワード。

LDAP 照会に従う場合、次の形式を使用して追加のサーバーアドレスを指定します。

ldap.host.1=<host1>
ldap.principal.1=<principaluser>
ldap.credential.1=<principleuserpassword> ldap.host.2=<host2>
ldap.principal.2=<principaluser
ldap.server.credential.2=<principaluserpassword>

照会がこの一覧で指定されない場合、追従されません。

ホスト名は DNS を使用して検索され、フェールオーバーメカニズムが適用されます。

ユーザープロパティ

これらの設定は、ディレクトリ内のユーザーの検索場所を定義します。

プロパティ	説明
ldap.user.dn	ユーザーを検索するための 1 つ以上の基本識別名 (DN)。
ldap.user.filter	ユーザーエントリに一致する LDAP 検索フィルタ (ここで %u はユーザーに置き換えられます)。
ldap.user.scope	ユーザーを検索する範囲。許可される値は、subtree、one-level、base です。デフォルトでは、ldap.user.scope=subtree です。
ldap.user.name	ユーザー名またはユーザー ID。
ldap.user.displayname	ユーザーのフルネーム。このプロパティを指定すると、フルネームがオンになります。
ldap.user.e-mail	ユーザーの電子メールアドレス。 rfc 2307 領域のプロパティは未定義です。
ldap.user.objectclass	オブジェクトを示すオブジェクトクラス値は user です。

Windows のセキュリティ領域でのセキュリティ設定を使用する場合、user.filter エントリのデフォルト設定では、通常 mkern などの短いユーザーログイン名を使用する Windows 2000 以前の認証メソッドが使用されます。電子メールアドレス (mkern@mks.com など) を使用してログインする場合は、ldap.user.filter および ldap.user.name l プロパティの両方で samaccountname の mail 属性を置換することによって、このエントリを変更する必要があります。例を次に示します。

ldap.user.filter=(&(mail=%u)(objectclass=user) (objectcategory=person))
ldap.user.scope=subtree
ldap.user.name=mail
ldap.user.displayname=displayName
ldap.user.e-mail=mail
ldap.user.objectclass=user

LDAP 準拠のセキュリティ領域では、結果が 1000 を超えるクエリが許可されない場合があります。多数のユーザーがいる場合、複数の DN を設定して、結果の数が少ない複数のクエリを送信する必要があります。たとえば、ユーザーが 1000 人未満の小さなコンテキストの場合、より具体的な複数の DN を作成できます。

user.dn.1=ou=support,ou=users,dc=northamerica,dc=support,dc=com
user.dn.2=ou=boston,ou=users,dc=northamerica,dc=support,dc=com
user.dn.3=ou=qa,ou=users,dc=northamerica,dc=support,dc=com
user.dn.4=ou=development,ou=users,dc=northamerica,dc=support,dc=com

Windchill RV&S Agent に接続するユーザーだけをリストする必要があります。

メンバープロパティ

これらの設定は、ディレクトリ内のグループのメンバーの検索場所を定義します。

プロパティ	説明
ldap.member.dn	グループメンバーを検索するための 1 つ以上の基本識別名 (この場合、%M はグループのメンバー名および DN 値に置き換えられます)。
ldap.member.filter	メンバーを解決するためのフィルタ (ここで %M はグループのメンバー名および DN 値に置き換えられます)。
ldap.member.scope	メンバーを検索する範囲。許可される値は、subtree、one-level、base です。

組織単位のプロパティ

これらの設定はオブジェクトクラス名を定義し、組織単位の名前を表示します。

プロパティ	説明
ldap.ou.objectclass	組織単位のオブジェクトクラス名。
ldap.ou.name	組織単位の名前を表示します。

¹ 一般的な LDAP ドキュメンテーションhttp://www.umich.edu/~dirsvcs/ldap/doc/Microsoft Active Directory Serverhttp://www.microsoft.com/windows2000/technologies/directory/ad/default.asp#section8OpenLDAPhttp://www.openldap.org/Novell Directory Services for Windowshttp://developer.novell.com/edirectory/ndsldap.htmRFC 2307http://www.ietf.org/rfc/rfc2307.txt