kimimasa's blog

【TechTipsの紹介】sAMAccountName で使っちゃいけない文字

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。

今日のTech Tipsです。今日も Active Directory 関連ですが、 [XADM] Mbconn.exe ユーティリティに関する問題の回避方法の中で、

samAccountName に使用できない文字が含まれている場合があります。samAccountName に指定可能な文字は 20 文字以内です。スペースは使用できません。また、以下の文字もすべて使用できません。

• アスタリスク (*)
• 等号 (=)
• 正符号 (+)
• 角かっこ ([ ])
• 円記号 (\)
• 縦線 (|)
• セミコロン (;)
• コロン (:)
• 二重引用符 (")
• カンマ (,)
• 山かっこ (< >)
• ピリオド (.)
• スラッシュ (/)
• 疑問符 (?)

[XADM] Mbconn.exe ユーティリティに関する問題の回避方法

という記述があります。
いやー、恥ずかしながらしりませんでした。。。昨日3時間くらいなやんじゃいました。
ほかの人が同じ無駄をしないようにエントリしてみました。ご注意ください。
ちなに、私は sAMAccountName は cn と同じでいいかなっと思ってずーっとスペース入りで書き込みしようとしていました。
kimimasa's wikiのIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

Tagged with  activedirectory blogwatch howto identitymanagement identitymanager japan resourceadapter techinical tips  |  Posted at 12:21午後 5 02, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【TechTipsの紹介】Active Directory のリスクアナリシス

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。 Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査（スキャン）の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント（パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど）をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは？？っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。（もちろんLDAP接続をすることも可能ではあります。）

Active Directory上のアカウントを簡単に監査（スキャン）したいというお客様はぜひお試しください。

kimimasa's wikiのIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

Tagged with  activedirectory blogwatch howto identitymanagement identitymanager japan techinical tips  |  Posted at 01:41午後 5 01, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【TechTipsの紹介】Identity Managerのインストール

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。
Tech Tips を紹介します。まったく持ってTipsというには程遠いですが、 Identity Manager Installation - kimimasa - wikis.sun.com ということで、Identity Managerのインストールの仕方をまとめました。今回は、Sun Java System Application Server 9.1 と MySQL 5.0 を使っています。Identity Manager は 7.1 です。
ついでなので、

• SJS Application Server Installation - kimimasa - wikis.sun.com
• MySQL Installation - kimimasa - wikis.sun.com

もまとめておきました。
画面キャプチャがたくさんなのでわかりやすいと思います。 参考になればうれしいです。ご意見ありましたらコメントください。

kimimasa's wikiのIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

Tagged with  blogwatch howto identitymanagement identitymanager japan techinical tips  |  Posted at 01:03午前 5 01, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【TechTipsの紹介】Access Manager で1人のユーザにセッションの制限を設定する方法

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。

Tech Tips を紹介します。たいしたものではないですが。。 Access Manager Session Setting - Quota Constraints - kimimasa - wikis.sun.com ということで、「Access Manager で1人のユーザにセッションの制限を設定する方法」をまとめてみました。
最近は、モバイル環境での使用や、不正アクセスの防止という観点で、一人のユーザに対するセッション数を制限したいというご要望も受けることがあります。
Access Manager では、Webの管理コンソールから簡単にこの設定を行なうことができます。
参考になれば幸いです。

kimimasa's wikiのAccess Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

Tagged with  accessmanager howto identitymanagement techinical tips wikis.sun.com  |  Posted at 08:01午後 4 17, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【TechTipsの紹介】PwdLastAuthTimeを記録する？記録しない？(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。

今日は Tech Tips を紹介します。 PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性（6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。

Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、

• Native LDAP(UNIXの認証をLDAPで行なう）用に Directory Server を利用している。
• Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
• Directory Server がマルチマスタ構成をとっている。

ような場合です。

で、どういう流れでパフォーマンスに影響がでるかというと、、

1. OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
2. そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
3. その情報がレプリケーションされます。
4. つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。

という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を解説しています。

Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。

kimimasa's wikiのDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa

Tagged with  directoryserver howto identitymanagement replication techinical tips  |  Posted at 05:12午後 4 08, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【Identity Manager】 Identity Managerの多言語化

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。
Kimimasa's wiki 開設 : kimimasa's blog で書きましたが、wiki をはじめました。公開できる情報はできるだけ公開していきたいと思っています。
早速、１つ書きました。

• Identity Manager Multilingual - kimimasa - wikis.sun.com

Identity Managerで多言語（９カ国語）を扱えるようにする方法です。できるのは分かり切っていますが、実際にはなかなかやらないことだと思います。
参考にして頂けると光栄です。
_kimimasa

Tagged with  blogwatch howto identitymanager japan multilingual wikis.sun.com  |  Posted at 10:16午前 1 22, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【Big Admin 日本語ハブ コンテンツの紹介】特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんばんは。
まだまだいきます。あ、でも日付変わっちゃったか。。。
さて、本エントリでも、Big Admin日本語ハブのコンテンツを紹介します。 BigAdmin日本語ハブとはBigAdminの日本版になります。

BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語

更新情報の blog もあります。BigAdmin 日本語通信
Big Admin日本語ハブの中には、Sun Java Enterprise System 製品のコーナーもあります。
で、本エントリでは、特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用 を紹介します。
この記事はBigadmin記事:Using Sun Java System Identity Manager With RBAC Profiles in the Solaris OSを日本語に翻訳したものです。内容は、

概要

Sun Java System Identity Manager は Resource Adapter を使用して、Solaris オペレーティングシステムを実行するシステム上でアカウントを作成、変更および削除します。Identity Manager Resource Adapter は、ユーザー管理作業を実行できるアクセス権を持つユーザーを使用して構成する必要があります。Solaris OS 用の Resource Adapter は、root アカウント、sudo ユーティリティー、または「特権」ユーザーアカウントを使用できます。

多くのお客様は、Identity Manager が、root アカウントを持つユーザーを管理することを許可しません。sudo 機能を使用するには、Solaris OS 上でインストールと構成を行う必要があります(sudo は、Sun がサポートしてない Companion CD のユーティリティー)。「プロキシ」または「特権」アカウントを作成することは、特定のユーザーにきめ細かいアクセス権を付与する安全な手段になります。Solaris OS には、個別のユーザーまたは役割に特権コマンドを委任するための組み込みメカニズムがあります。

この記事では、Identity Manager を使用して Solaris OS (リリース 9 および 10) を構成し、特権プロファイルを使用して Solaris OS 用の Identity Manager Resource Adapter を介してユーザーアカウントを作成、変更、および削除する方法について説明します。

特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用

という感じです。
英語版は2005年のもので少し古いですが、最近、内部統制の強化や、JSOXにおけるIT全般統制の強化という流れの中で、Identity Managerを使った、OSアカウント管理の話が結構多いので参考になると思い翻訳してもらいました。内容も製品のバージョン依存の部分が少ないのでとても参考になると思います。
Identity ManagerでのOSアカウント管理をご検討の場合にはぜひご一読ください。
_kimimasa

Tagged with  accessmanager bigadmin howto rbac solaris  |  Posted at 01:19午前 11 23, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【Big Admin 日本語ハブ コンテンツの紹介】特集記事: Sun Java System Access Manager 2005Q4 および Sun Java System Access Manager Policy Agent 2.2 を使用したシングルサインオン

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。どんどん行きます。
一日のエントリ数の自己記録を更新かなー？？
次も Big Admin日本語ハブのコンテンツです。 一気に更新があったので、紹介するのも大変です。（でもどれもいいコンテンツなのでがんばって紹介しますー）
BigAdmin日本語ハブとはBigAdminの日本版になります。

BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語

更新情報の blog もあります。BigAdmin 日本語通信
Big Admin日本語ハブの中には、Sun Java Enterprise System 製品のコーナーもあります。
今回は、特集記事: Sun Java System Access Manager 2005Q4 および Sun Java System Access Manager Policy Agent 2.2 を使用したシングルサインオン を紹介します。
これもまた以前に、Identity Manager,Access Manager に関するTechArticleのご紹介（Bigadmin）:kimimasa's blogとして紹介していますが、Bigadmin記事:Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2の翻訳版です。

BigAdmin Feature Article: Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2 Access Manager をインストールし、Policy Agent 2.2を Sun Java System Web Server,Sun Java System Application Server,Tomcat上にインストールして、SSO（シングルサインオン）を実施するまでの記事です。
Identity Manager,Access Manager に関するTechArticleのご紹介（Bigadmin）:kimimasa's blog

日本語になっていますので、実際に試して頂くのにいいと思います。ただ、Access Managerは最新の 7.1 ではなく、2005Q4(7.0) を使っていますのでご注意下さい。
_kimimasa

Tagged with  accessmanager bigadmin howto japan  |  Posted at 06:00午後 11 22, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【BigAdmin記事の紹介】Sun Java System Directory Server 6.0 as an LDAP Naming Service

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。
今日は、BigAdminの新規記事を紹介します。 (BigAdminとは、Sunが提供しているシステム管理者さんの為の技術情報ポータルサイトです。)

The BigAdmin portal is a Web-based, community-driven repository of resources specifically for system administrators -- by sys admins. Keeping in the tradition of bulletin boards, the BigAdmin portal enables users to both receive and post useful information, resources, and tips. The BigAdmin team continually posts useful, cool things that sys admins care about. However, realizing that we can't identify all resources that are available, we also encourage our user community to submit things that they find useful.
BigAdmin FAQ

Sun Java System Directory Server 6.0 as an LDAP Naming Service

• Part 1 -- Installation and Configuration
• Part 2 -- Client Configurations for the Solaris OS
• Part 3 -- Client Configurations for Red Hat Linux and AIX
• Part 4 -- Post-Configuration Tasks

ってことで、Directory Serverを Solaris 10,Solaris9,Solaris8さらには、RedHat4, AIX5.3 のNamingServiceとして使用する際の方法（Howto)をまとめてあります。簡単にいうと、OSのpasswd,shadowファイルや、NISではなくて、LDAPをOSの認証だったり、ネーミングサービスに使う際のインストールや設定の方法を解説した記事です。

この記事はかなりよいです。（そのかわり、記事のボリュームもかなりのものです。）

Directory Server側の設定方法、OS(ここではLDAPクライアントとなる）側の設定方法のどちらか一方であれば製品ベンダのマニュアルなどで探すことはできますが、その両方がまとめて記述されているのはかなり珍しいと思います。BigAdminという技術ポータルならではの情報だと思います。 （普通、Sun のサイトに RedHatやAIXの設定方法はのっていないので（笑））
逆に IBMさんやRedHatさんのサイトにもDirectory Serverの設定方法は載っていないけど。。

いろいろ解説したいことろですが。。。多忙につきまずはお知らせまで。。。
_kimimasa

Tagged with  aix bigadmin deployment directoryserver howto namingservice nativeldap operatingsystem redhat solaris solaris10  |  Posted at 12:22午後 10 15, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【SDN記事の紹介】Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Way

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。

SDN(Sun Developer Network)の記事を紹介します。 Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Wayということで、Access Managerを簡単にインストールしちゃおう！！っという記事です。
Access Managerのwarファイルを、先日発表されたApplication Server 9.1 にデプロイしています。
先日紹介した

Technical Note: Deploying Access Manager With Application Server 9.1 [ダウンロード]

のさらに簡単になった版だと思っていただければいいと思います。まずは、 『Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Way』(Sun Developer Network)を見ていただいて、もう少し詳しく知りたい場合には、Technical Note: Deploying Access Manager With Application Server 9.1 (docs.sun.com) を参照いただくのがいいと思います。
かなり簡単なドキュメントなので、インストールやデプロイの時間を入れても30分程度で目を通せるかな？と思います。

デプロイできたら、SDNのほかの記事なども参考にしていただいていろいろ試して頂けると面白いと思います。 私も Access Managerに関するエントリをいくつか書いていますので、そちらからたどって頂くこともできるかと思います。
_kimimasa

Tagged with  accessmanager howto opensso sdn  |  Posted at 02:50午後 9 26, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【Identity Manager】Dominoの接続ユーザを作って、設定をしてみよう。

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

おはようございます。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Lotus Domino と連携できればよいのですが、Domino でやらなければいけないこと、やっておいたほうがいいこと(Identity Managerの接続用ユーザを作成して権限を割り当てるなど。。）がありますので説明します。

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。: kimimasa's blogより少し手順が多いです。

マニュアルにもDominoと接続するために何が必要かは記述されています。しかし少し簡潔すぎな気もしますので、説明しておきます。（といっても、Domino専門ってわけではないので、とりあえずこんな感じでという程度ですが。。）

1. 前提条件：Domino及びNotesはインストールされている。
2. Domino Administratorを起動し、管理者ユーザ(今回は、admin sun/example)でログインし、作成先サーバ(今回は sun/example)へ接続します。
3. Identity Managerの接続用ユーザを作成します。
   まずはExampleドメインタブをクリックして、ユーザ -> 登録 とクリックします。
   
   ユーザ登録の画面です。まずはパスワードオプションを押下します。
   
   パスワードの強度などを設定できます。(ここではインターネットパスワードの設定にチェックを入れておきます。OKを押下します。)
   
   ユーザ情報を入力します。
   
   詳細チェックボックスにチェックして、表示された、ID情報タブをクリックして、ファイルチェックボックスをチェックします。
   
   右下に表示される、レ　ボタンを押下して、入力した情報に間違いなどがないかチェックして、登録 ボタンを押下して登録します。
   
   登録ができました。OK を押下します。
   
4. 次に作成した管理者ユーザに必要な権限を割り当てて行きます。
   ファイル タブをクリックします。
   
   example Directory names.nsfを右クリックして、メニューから アクセス制御 -> 管理 と進みます。これはいわゆる公開アドレス帳にあたります。
   
   追加を押下します。
   
   idmadm/exampleと入力して OK を押下します。
   
   ユーザー,管理者を選択して、文書の削除にチェックをします。ロールとして、Group Modifier,User Creator,User Modifierにチェックをします。(画面上は User Modifier が見えていませんがチェックしてあります。) OK を押下します。
   
   example Certification　Log certlog.nsfを右クリックして、メニューから アクセス制御 -> 管理 と進みます。これは認証ログデータベースにあたります。
   
   追加を押下します。
   
   idmadm/exampleと入力して OK を押下します。
   
   ユーザー,管理者を選択して、文書の削除にチェックをします。OK を押下します。
   
   サーバに対する管理権限を与えます。
   設定 タブをクリックします。
   
   サーバー -> 現在のサーバ文書 と進んで行きます。
   
   フルアクセスアドミニストレータ,データベースアドミニストレーター に idmadm/example と追加して、ファイル メニューから 保存 を選択して文書を保存します。
   
   ここまでで、ユーザ�������作成と、権限の割り当ては終了です。
5. 次に gateway に必要な設定をしていきます。Dominoとの連携ではActive Directoryとは違い gateway に Domino 用の設定を行う必要があります。
   まずは各種ファイルをC:\idm\gatewayフォルダにまとめます。(必ずしもファイルをまとめておく必要はないですが、わかりやすいように gateway が使用するファイルは一箇所にまとめておくことをお勧めします。)
   idmadm の idファイルをコピーします。
   
   C:\idm\gatewayフォルダに貼り付けます。
   
   cert.idファイル(認証者IDファイル)をコピーします。
   
   notes.ini ファイルをコピーします。
   
   gateway に Domino用の設定を行います。具体的にはレジストリに値を設定していきます。 (今回は設定には regeditを使いました。)
   HKEY_LOCAL_MACHINE -> SOFTWARE の下にWaveset -> Lighthouse -> Gatewayとキーを作成していきます。
   
   notesInstallDirに Notes がインストールされているフォルダを設定します。
   
   notesIniFileに notes.ini ファイルの絶対パスを設定します。
   
   これでDomino/Notes 側に必要な設定は一通りできました。

参考マニュアル:Sun Java System Identity Manager 7.1 リソースリファレンス >> Domino

Dominoは奥が深いですね、いろいろな設定があるのでこれからも少しづつこのBlogに書いていきたいと思います。
_kimimasa

Tagged with  domino howto identitymanager notes  |  Posted at 02:25午前 9 05, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Active Directoryと連携できればよいのですが、Active Directoryやっておいたほうがいいこと(Identity Managerの接続用ユーザを作成する。）がありますので説明します。

ぶっちゃけ administrator を使ってしまえば、Identity Managerの接続用にユーザを作る必要はありません。しかし、現実としては、administratorを本番で使用するのは権限が大きすぎるのでお勧めできません。検証環境であっても、別途Identity Managerが接続するためのユーザを作成するほうがお勧めです。Identity Manager専用のユーザにしておけば（ほかのアプリや、開発者が使わないようにしておけば）例えば、割り当てるグループをいろいろ変えて、やりたいことに必要最低限の権限を設定していくことなどができます。あるお客様では、AD側に書き込みをしてほしくないので、読み込み権限だけを付与しているといったケースもあります。また、Identity Manager専用なので、だれかにパスワードを変えられて接続できなくなってしまうといったケースも避けられます。

当然マニュアルにもActive Directoryと接続するために何が必要かは記述されています。しかし最近お客様やパートナー様から、「とりあえずつなげて検証するときにAD側でどういった準備をしておけばいいの？」と問い合わせをうけることも多くなってきたのでここで説明しておきます。
Active Directory はIdentity Managerとの連携が一番多い（実績的にも、お客様の要望的にも）リソースの1つなので問い合わせも多いです。

1. 前提：Active Directory は既にインストールされている。
2. まず、プログラム -> 管理ツール -> Active Directory ユーザとコンピュータを開きます。
3. Users オブジェクト下にユーザを作成します。
   
   今回は idmadm というユーザを作成してみます。
   パスワードの有効期限がきて接続できなくならないように、パスワードは無期限にする を選択しておきます。
   また、ユーザは次回ログオン時にパスワード変更が必要 のチャックもはずしておきます。
   
   できました。
   
4. これだけでは権限がないので、グループを割りたてます。(今回は administratorsに所属させます。
   まずは idmadmのプロパティ画面を開きます。
   
   追加を押下します。
   
   詳細設定を押下します。
   
   検索ボックスにadmin と入力して、今すぐ検索を押下します。Adminisrators が表示されるので、OKを押下して追加します。
   
   OKを押下します。
   
   ユーザが Administratorsグループに追加されました。OKを押下します。
   
   これで Active Directory 側の作業は終了です。
5. ついでなんで、Identity Manager側でもリソースの設定の説明もしておきます。（画面キャプチャの嵐です）
   まずは、ActiveDirectoryリソースが管理されるリソースとして設定されているか確認しましょう。私の環境では既に設定されています。
   新規リソースを追加して行きます。
   
   Windows Active Directoryを選択します。
   
   各種設定値を入力していきます。
   • ホスト 接続先サーバ(gatewayをインストールしたサーバ）のIPアドレスまたホスト名を入力します。
   • TCPポート gateway はデフォルトで9278ポートを使用します。ここはそのままでオッケーです。
   • ユーザ デフォルトでは、administrator と表示されていますが、今回は作成したユーザ idmadm を入力します。
   • パスワード idmadmのパスワードを入力します。
   • オブジェクトクラス そのままでオッケーです。
   • コンテナ ユーザコンテナを設定します。今回はcn=users,dc=example,dc=comを入力します。
   ほかの部分に関してはまずは変更の必要はありません。
   設定のテストを押下すると、入力した設定値を元にAective Directory へテスト接続を行います。
   接続に問題がなければ、次のリソースのテスト接続が成功しました というメッセージが表示されます。
   設定値に問題が無いことを確認して 次へ を押下します。
   
   ADとIdentity Managerの属性値のマッピング情報を設定する画面です。ここではデフォルトのままで 次へ を押下します。
   
   ユーザ作成時のDNの情報を設定する画面です。デフォルトでは、mydomain となっている部分を exampleに変更して、次へ を押下します。
   
   Active Directoryが停止していた場合の処理などを設定していく画面です。ここではデフォルトのままで 保存 を押下します。
   
   これで、Active Directory との連携準備が整いました。
   画面の量は多いですが（かなり細かくとりました。）実際には、10分もあれば十分終わってしまう作業です。（私は画面とりながらだったので、30分以上かかりました。。。）
   参考にしていただければと思います。
   参考マニュアル : Sun Java System Identity Manager 7.1 リソースリファレンス >> Active Directory
   _kimimasa

   Tagged with  activedirectory howto identitymanager  |  Posted at 05:02午後 9 04, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加 / del.icio.us に登録  |  投稿されたコメント[0]