CA Strong Authentication 管理ガイド › 組織の管理 › 組織の作成とアクティブ化 › LDAP リポジトリでの組織の作成

LDAP リポジトリでの組織の作成

LDAP ユーザ ディレクトリをサポートするには、CA AuthMinder リポジトリに組織を作成してから、CA AuthMinder の属性を LDAP の属性にマップします。

次の手順に従ってください：

1. ［組織］タブをクリックします。
2. ［組織の管理］セクションで［組織の作成］リンクをクリックして［組織の作成］ページを表示します。
3. 組織の詳細の入力

   組織情報

   ［Organization Name］

   作成する組織に対する一意の ID を入力します。

   注： 管理コンソールを使用してこの組織にログインするには、組織の表示名ではなく、この値を指定します。

   表示名

   組織のわかりやすい一意の名前を入力します。

   注： この名前はほかのすべての管理コンソール ページやレポートに表示されます。

   Description

   この組織を管理する管理者に関する説明を入力します。

   注： このフィールドを使用して、後で参照できるように組織の追加の詳細を入力できます。

   管理者認証メカニズム

   この組織に属する管理者を認証するために使用されるメカニズムを選択します。

   管理コンソールでは、以下の 3 種類の認証メカニズムがサポートされています。

   基本ユーザ パスワード

   これは、管理コンソール によって提供される組み込みの認証メカニズムです。 このオプションを選択した場合、管理者は自分の ID とプレーン テキスト パスワードを指定してコンソールにログインします。

   LDAP ユーザ パスワード

   認証ポリシーは LDAP ディレクトリ サービスで定義されています。 このオプションを選択した場合、管理者は LDAP に格納されている認証情報を使用して管理コンソールにログインする必要があります。

   WebFort パスワード

   これは、WebFort のパスワード認証方式です。 このオプションを選択した場合、管理者の認証情報は CA AuthMinder サーバによって発行され、認証されます。

   キー ラベル設定

   グローバル キーの使用

   デフォルトでは、このオプションが選択されています。 ブートストラップ プロセスで指定したグローバル キー ラベルを無効にして、新たにソフトウェア ベースの暗号化用のラベルを指定する場合は、このオプションを選択解除します。

   キー ラベル

   ［グローバル キーの使用］オプションを選択解除した場合は、組織に対して使用する新しいキー ラベルを指定します。

   暗号化ストレージ タイプ

   暗号化キーがデータベース（ソフトウェア）に格納されるか HSM （ハードウェア）に格納されるかを示します。

   ローカライズ設定

   グローバル設定の使用

   グローバル レベルで設定されたローカライゼーション パラメータを使用するには、このオプションを選択します。

   日付/時刻形式

   ［グローバル設定の使用］オプションを選択解除した場合は、使用する日付/時刻形式を指定します。

   優先ロケール

   ［グローバル設定の使用］オプションを選択解除した場合は、優先ロケールを選択します。

   ユーザ データの場所

   リポジトリ タイプ

   ［エンタープライズ LDAP］を選択します。 このオプションを指定すると、新しい組織のユーザや管理者の詳細が CA AuthMinder リポジトリに保存されます。

   カスタム属性

   Name

   カスタム属性の名前です。

   値

   カスタム属性の値です。

4. ［次へ］をクリックします。

   LDAP リポジトリの詳細を収集するための［組織の作成］ページが表示されます。

5. 詳細を指定します。

   ホスト名

   LDAP リポジトリを使用できるシステムのホスト名を入力します。

   Port Number

   LDAP リポジトリ サービスがリスニングしているポート番号を入力します。

   スキーマ名

   LDAP リポジトリで使用される LDAP スキーマを指定します。 このスキーマには、LDAP リポジトリに含めることができるオブジェクトのタイプと、各オブジェクト タイプの必須属性および任意属性が指定されます。

   通常、Active Directory のスキーマ名は user であり、SunOne Directory のスキーマ名は user および inetorgperson です。

   ベース識別名

   LDAP リポジトリのベース識別名を入力します。 この値は、LDAP リポジトリ内を検索する際の LDAP 階層の開始ノードを示します。

   たとえば、cn=rob laurie, ou=sunnyvale, o=arcot, c=us という DN を持つユーザを検索するには、ベース DN を以下のように指定する必要があります。

   ou=sunnyvale, o=arcot, c=us

   注： 通常、このフィールドでは大文字と小文字が区別され、このフィールドに指定されたベース DN のサブノードがすべて検索されます。

   リダイレクト スキーマ名

   「member」属性を定義するスキーマの名前を指定します。

   これはオプション フィールドです。

   組織に対して定義されたベース DN を使用して、LDAP リポジトリでユーザを検索できます。 ただし、この検索では、特定の OU （組織単位）に属するユーザしか返されません。 LDAP 管理者は、グループ全体へのアクセスを制御するために、さまざまな組織単位に属するユーザのグループを作成し、さまざまなグループからユーザを検索したいと思われます。 管理者がグループを作成すると、ユーザ ノード DN はグループ ノードの「member」属性に格納されます。 デフォルトでは、UDS では属性値に基づいた検索や DN の解決が許可されていません。 リダイレクトを使用すると、特定のノードに対する特定の属性値に基づいて、LDAP 内のさまざまなグループに属するユーザを検索できます。

   通常、Active Directory のリダイレクト スキーマ名は group であり、SunOne Directory のリダイレクト スキーマ名は groupofuniquenames です。

   接続タイプ

   管理コンソール と LDAP リポジトリの間で使用する接続のタイプを選択します。 サポートされているタイプは以下のとおりです。

   • TCP
   • 一方向 SSL
   • 双方向 SSL

   ログイン名

   LDAP リポジトリ ユーザの完全識別名を入力します。このユーザは、リポジトリ サーバにログインし、ベース識別名を管理する権限を持つユーザです。

   例： uid=gt,dc=arcot,dc=com

   ログイン パスワード

   ［ログイン名］で指定したユーザのパスワードを入力します。

   サーバ トラステッド ルート証明書

   参照ボタンを使用して LDAP サーバに SSL 証明書を発行した信頼済みルート証明書のパスを入力します。

   このフィールドは、［接続タイプ］フィールドで［一方向 SSL］または［双方向 SSL］を選択した場合に使用可能です。

   クライアント キー ストア

   参照ボタンを使用してクライアント証明書と対応するキーが含まれるキーストアのパスを入力します。

   このフィールドは、［接続タイプ］フィールドで［双方向 SSL］を選択した場合にのみ使用可能です。

   注： PKCS#12 または JKS のいずれかのキーストア タイプをアップロードします。

   クライアント キー ストア パスワード

   必要な SSL オプションが選択されている場合は、クライアント キーストアのパスワードを入力します。

   このフィールドは、［接続タイプ］フィールドで［双方向 SSL］を選択した場合にのみ使用可能です。

6. ［次へ］ボタンをクリックして続行します。

   リポジトリの属性をマップするページが表示されます。

7. このページで、以下を実行します。
   1. ［Arcot データベース属性］リストから属性を選択し、Arcot の属性とマップする必要がある適切な属性を［エンタープライズ LDAP 属性］リストから選択して［マップ］ボタンをクリックします。

      重要： UserName 属性は必ずマップする必要があります。 Active Directory を使用している場合は、UserName を sAMAccountName にマップします。 SunOne Directory を使用している場合は、UserName を uid にマップします。
      Active DIrectory の場合は、STATUS を userAccountControl にマップする必要があります。

   2. 必要なすべての属性のマップが完了するまで、属性をマップする作業を繰り返します。

      注： ［Arcot データベース属性］リスト内の属性をすべてマップする必要はありません。 使用する属性のみをマップします。

      マップされた属性は［マップされた属性］リストに移動されます。

      必要な場合は、属性のマッピングを解消できます。 一度に 1 つの属性のマッピングを解消する場合は、属性を選択してマップ解除ボタンをクリックします。 ただし、［マップされた属性］リストをクリアする場合は、リセット ボタンをクリックすると、マップされたすべての属性のマッピングが解消されます。

   3. 前のページで［リダイレクト スキーマ名］を指定した場合は、［リダイレクト検索属性］リストから検索属性を選択する必要があります。

      通常、Active Directory の属性は member であり、SunOne Directory の属性は uniquemember です。

8. ［次へ］ボタンをクリックして続行します。

   ［暗号化する属性の選択］ページが表示されます。

9. ［暗号化する属性］セクションで、以下のいずれかを実行します。
   • グローバル設定を属性の暗号化セットの設定に使用する場合は、［グローバル設定の使用］を選択します。
   • 暗号化する属性を［暗号化用に利用可能な属性］リストから選択し、それを［暗号化用に選択した属性］に追加します。

     ［>］ボタンをクリックして、選択した属性を目的のリストに移動します。 ［>>］ボタンをクリックして、すべての属性を目的のリストに移動することもできます。

     注： 一度に複数の属性を選択するには、Ctrl キーを押しながら選択します。

10. ［次へ］をクリックします。

    ［管理者の追加］ページが表示されます。

    注： システムに現在存在するすべての管理者がすべての組織を管理するためのスコープを持っている場合、このページは表示されません。

    ［利用可能な管理者］リストから組織を管理する管理者を選択し、［>］ボタンをクリックして管理者を［管理している管理者］リストに追加します。

    ［利用可能な管理者］リストには、新しい組織を管理できるすべての管理者が表示されます。

    注： 一部の管理者がシステム内のすべての組織を管理するためのスコープを持っている場合、それらの管理者に対応するエントリはこのリストに表示されません。

    ［管理している管理者］リストには、この組織を管理するために選択した管理者が表示されます。

11. ［次へ］ボタンをクリックして続行します。

    ［アカウント タイプの設定］ページは、ログインした管理者が管理するアカウント タイプを持っている場合にのみ表示されます。 ログインした管理者が管理するアカウント タイプを持っていない場合は、［電子メール/電話のタイプの設定］ページが表示されます。

    1. ［アカウント タイプの割り当て］セクションで、［利用可能］リストからアカウント タイプを選択し、［>］ボタンをクリックしてそれらを［選択済み］リストに移動させます。

       ［アカウント カスタム属性の設定］ページが表示されます。

    2. アカウントの属性を 1 つ以上指定します。
12. ［次へ］ボタンをクリックして続行します。

    ［組織のアクティブ化］ページが表示されます。

13. ［有効］ボタンをクリックして新しい組織をアクティブにします。

    警告メッセージが表示されます。

14. ［OK］をクリックします。
15. 展開された CA AuthMinder サーバ インスタンスをすべてリフレッシュします。 この方法の詳細については、「サーバ インスタンスのリフレッシュ」を参照してください。

情報： 組織を作成する際に、属性の暗号化セット、アカウント タイプ、および電子メールと電話のタイプを設定している場合は、システム設定と組織のキャッシュの両方をリフレッシュします。 組織レベルのキャッシュをリフレッシュしないと、システムは回復不可能な状態になります。