きみまさブログ - kimimasa's blog

【TechTipsの紹介】sAMAccountName で使っちゃいけない文字

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

金曜日 5 02, 2008


こんにちは。

今日のTech Tipsです。今日も Active Directory 関連ですが、 [XADM] Mbconn.exe ユーティリティに関する問題の回避方法の中で、

samAccountName に使用できない文字が含まれている場合があります。samAccountName に指定可能な文字は 20 文字以内です。スペースは使用できません。また、以下の文字もすべて使用できません。
  • アスタリスク (*)
  • 等号 (=)
  • 正符号 (+)
  • 角かっこ ([ ])
  • 円記号 (\)
  • 縦線 (|)
  • セミコロン (;)
  • コロン (:)
  • 二重引用符 (")
  • カンマ (,)
  • 山かっこ (< >)
  • ピリオド (.)
  • スラッシュ (/)
  • 疑問符 (?)
[XADM] Mbconn.exe ユーティリティに関する問題の回避方法
という記述があります。
いやー、恥ずかしながらしりませんでした。。。昨日3時間くらいなやんじゃいました。
ほかの人が同じ無駄をしないようにエントリしてみました。ご注意ください。
ちなに、私は sAMAccountName は cn と同じでいいかなっと思ってずーっとスペース入りで書き込みしようとしていました。
kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 12:21午後 5 02, 2008 by kimimasa in Identity Management
Tags:

【TechTipsの紹介】Active Directory のリスクアナリシス

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 5 01, 2008


こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。 Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査(スキャン)の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント(パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど)をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは??っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。(もちろんLDAP接続をすることも可能ではあります。)

Active Directory上のアカウントを簡単に監査(スキャン)したいというお客様はぜひお試しください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 01:41午後 5 01, 2008 by kimimasa in Identity Management
Tags:

【TechTipsの紹介】Identity Managerのインストール

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 5 01, 2008


こんにちは。
Tech Tips を紹介します。まったく持ってTipsというには程遠いですが、 Identity Manager Installation - kimimasa - wikis.sun.com ということで、Identity Managerのインストールの仕方をまとめました。今回は、Sun Java System Application Server 9.1 と MySQL 5.0 を使っています。Identity Manager は 7.1 です。
ついでなので、

もまとめておきました。
画面キャプチャがたくさんなのでわかりやすいと思います。 参考になればうれしいです。ご意見ありましたらコメントください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 01:03午前 5 01, 2008 by kimimasa in Identity Management
Tags:

【TechTipsの紹介】Access Manager で1人のユーザにセッションの制限を設定する方法

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 4 17, 2008


こんにちは。

Tech Tips を紹介します。たいしたものではないですが。。 Access Manager Session Setting - Quota Constraints - kimimasa - wikis.sun.com ということで、「Access Manager で1人のユーザにセッションの制限を設定する方法」をまとめてみました。
最近は、モバイル環境での使用や、不正アクセスの防止という観点で、一人のユーザに対するセッション数を制限したいというご要望も受けることがあります。
Access Manager では、Webの管理コンソールから簡単にこの設定を行なうことができます。
参考になれば幸いです。

kimimasa's wikiAccess Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 08:01午後 4 17, 2008 by kimimasa in Identity Management
Tags:

【TechTipsの紹介】PwdLastAuthTimeを記録する?記録しない?(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

火曜日 4 08, 2008


こんにちは。

今日は Tech Tips を紹介します。 PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。

Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、

  • Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
  • Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
  • Directory Server がマルチマスタ構成をとっている。
ような場合です。

で、どういう流れでパフォーマンスに影響がでるかというと、、
  1. OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
  2. そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
  3. その情報がレプリケーションされます。
  4. つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を解説しています。

Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。

kimimasa's wikiDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 05:12午後 4 08, 2008 by kimimasa in Identity Management
Tags:

技術文書の紹介[Technical Note: Sun Java System Access Manager ACI Guide]

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

月曜日 3 19, 2007

こんにちは。
新規テクニカルノートのご紹介です。
docs.sun.comAccess Manager 7 2005Q4マニュアルコレクション(英語)にドキュメントが追加されました。
Technical Note: Sun Java System Access Manager ACI Guide(HTML版)
Technical Note: Sun Java System Access Manager ACI Guide(PDF版のダウンロード)

  • Access Manager で使用されている ACI(Access Control Instructions)の定義や設定値の説明。
  • インストール時にどのように設定されているか。
  • どうやってカスタマイズ(ACIを減らしたりするか。)を行うか。
などが紹介されています。全部で28ページ。
Access Manager をインストール、構築、設定、運用するのに、このテクニカルノートの中身をすべて理解しておく必要はないかと思いますが、パフォーマンスチューニングや、カスタマイズや、権限委譲モデルの設計などを実施される場合には、かなり参考になる。(自分で調べる手間がはぶける。。。)と思います。
以上、ご紹介でした。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 11:27午前 3 19, 2007 by kimimasa in Identity Management
Tags:
Translate to English : (Yahoo!)/ (Google)/ (Microsoft)