きみまさブログ - kimimasa's blog

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。

火曜日 9 04, 2007

こんにちは。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Active Directoryと連携できればよいのですが、Active Directoryやっておいたほうがいいこと(Identity Managerの接続用ユーザを作成する。)がありますので説明します。

ぶっちゃけ administrator を使ってしまえば、Identity Managerの接続用にユーザを作る必要はありません。しかし、現実としては、administratorを本番で使用するのは権限が大きすぎるのでお勧めできません。検証環境であっても、別途Identity Managerが接続するためのユーザを作成するほうがお勧めです。Identity Manager専用のユーザにしておけば(ほかのアプリや、開発者が使わないようにしておけば)例えば、割り当てるグループをいろいろ変えて、やりたいことに必要最低限の権限を設定していくことなどができます。あるお客様では、AD側に書き込みをしてほしくないので、読み込み権限だけを付与しているといったケースもあります。また、Identity Manager専用なので、だれかにパスワードを変えられて接続できなくなってしまうといったケースも避けられます。

当然マニュアルにもActive Directoryと接続するために何が必要かは記述されています。しかし最近お客様やパートナー様から、「とりあえずつなげて検証するときにAD側でどういった準備をしておけばいいの?」と問い合わせをうけることも多くなってきたのでここで説明しておきます。
Active Directory はIdentity Managerとの連携が一番多い(実績的にも、お客様の要望的にも)リソースの1つなので問い合わせも多いです。

  1. 前提:Active Directory は既にインストールされている。
  2. まず、プログラム -> 管理ツール -> Active Directory ユーザとコンピュータを開きます。
  3. Users オブジェクト下にユーザを作成します。

    今回は idmadm というユーザを作成してみます。
    パスワードの有効期限がきて接続できなくならないように、パスワードは無期限にする を選択しておきます。
    また、ユーザは次回ログオン時にパスワード変更が必要 のチャックもはずしておきます。

    できました。
  4. これだけでは権限がないので、グループを割りたてます。(今回は administratorsに所属させます。
    まずは idmadmのプロパティ画面を開きます。

    追加を押下します。

    詳細設定を押下します。

    検索ボックスにadmin と入力して、今すぐ検索を押下します。Adminisrators が表示されるので、OKを押下して追加します。

    OKを押下します。

    ユーザが Administratorsグループに追加されました。OKを押下します。

    これで Active Directory 側の作業は終了です。
  5. ついでなんで、Identity Manager側でもリソースの設定の説明もしておきます。(画面キャプチャの嵐です)
    まずは、ActiveDirectoryリソースが管理されるリソースとして設定されているか確認しましょう。私の環境では既に設定されています。
    新規リソースを追加して行きます。

    Windows Active Directoryを選択します。

    各種設定値を入力していきます。
    • ホスト 接続先サーバ(gatewayをインストールしたサーバ)のIPアドレスまたホスト名を入力します。
    • TCPポート gateway はデフォルトで9278ポートを使用します。ここはそのままでオッケーです。
    • ユーザ デフォルトでは、administrator と表示されていますが、今回は作成したユーザ idmadm を入力します。
    • パスワード idmadmのパスワードを入力します。
    • オブジェクトクラス そのままでオッケーです。
    • コンテナ ユーザコンテナを設定します。今回はcn=users,dc=example,dc=comを入力します。
    ほかの部分に関してはまずは変更の必要はありません。
    設定のテストを押下すると、入力した設定値を元にAective Directory へテスト接続を行います。
    接続に問題がなければ、次のリソースのテスト接続が成功しました というメッセージが表示されます。
    設定値に問題が無いことを確認して 次へ を押下します。

    ADとIdentity Managerの属性値のマッピング情報を設定する画面です。ここではデフォルトのままで 次へ を押下します。

    ユーザ作成時のDNの情報を設定する画面です。デフォルトでは、mydomain となっている部分を exampleに変更して、次へ を押下します。

    Active Directoryが停止していた場合の処理などを設定していく画面です。ここではデフォルトのままで 保存 を押下します。

    これで、Active Directory との連携準備が整いました。
    画面の量は多いですが(かなり細かくとりました。)実際には、10分もあれば十分終わってしまう作業です。(私は画面とりながらだったので、30分以上かかりました。。。)
    参考にしていただければと思います。
    参考マニュアル : Sun Java System Identity Manager 7.1 リソースリファレンス >> Active Directory
    _kimimasa

    Like this post? del.icio.us | furl | slashdot | technorati | digg
    Posted at 05:02午後 9 04, 2007 by kimimasa in Identity Management
    Tags:
投稿されたコメント:

コメント
  • HTML文法 不許可