CA AppLogic の使用 › グリッド管理ガイド › Role-Based Access Control › ディレクトリ サービスの設定

ディレクトリ サービスの設定

ローカル ディレクトリ サービス

各グリッドには独自のローカル ディレクトリ サービスが含まれます。 このサービスは、ローカル ユーザとグループを管理するために使用されます。 また、グローバル ユーザとグループに関する情報を格納するためにも使用されます。 たとえば、グローバル ユーザの認証の際は、そのユーザのグローバル グループ メンバシップがグローバル ディレクトリから読み取られ、ローカル ディレクトリのキャッシュに格納されます。 また、グローバル ユーザのプロファイル プロパティはローカル ディレクトリに格納されます。

ユーザおよびグループは CLI のユーザおよびグループ コマンドを使用して管理されます。

グリッドが最初に作成されると、BFC を使用して初期ローカル ユーザが作成されます。 このユーザはローカル グループ admin のメンバになります。 初期ユーザの名前とパスワードは BFC GUI で提供されます。

グローバル ディレクトリ サービス

グローバル ディレクトリ サービスは CA AppLogic の外部で管理されます。 CA AppLogic グリッドは、ユーザ認証と、グローバル グループ メンバシップの判断にグローバル ディレクトリ サービスを使用するように設定できます。 グローバル ディレクトリ サービスを使用することにはいくつかの利点があります。

• グリッド固有のユーザ、パスワード、グループを管理する必要がありません。
• 複数のグリッドを持つ組織では、それらの CA AppLogic グリッドにアクセスするために、グリッドが別のサービス プロバイダによって提供されている場合でも、同じユーザ名、パスワードおよびグループ名を使用できます。
• ユーザ認証は外部サービスによって実行され、同じサービスを組織内の他の多くのソフトウェア システムで使用することも可能です。 たとえば、既存の企業ユーザ アカウントを CA AppLogic グリッドへのアクセスを提供するために使用できます。
• グローバル ユーザまたはグローバル グループを参照する CA AppLogic オブジェクト ACL エントリは、オブジェクトのインポート、エクスポート、マイグレートにおいて保持することができます。 オブジェクトが同じグローバル ディレクトリ サービスを使用する別のグリッドにインポートまたはマイグレートされた場合、これらのエントリが認識されます。

CA AppLogic とグローバル ディレクトリ サービスとの連携は、Backbone Fabric Controller （BFC）を使用して設定されます。 この設定は保護されていて、Backbone Fabric Controller の管理者によってのみ変更が可能です。 BFC を使用して、グリッド作成時、またはその後いつでもこの設定を実行することができます。 CA AppLogic では、Active Directory および汎用 LDAP ディレクトリ サービスの両方がサポートされます。

以下の画面は、グローバル ディレクトリ サービスとして Active Directory を使用する典型的な設定を示しています。

以下の画面は、グローバル ディレクトリ サービスとして汎用 LDAP を使用する典型的な設定を示しています。

BFC グローバル ディレクトリ設定インターフェースで行われた変更は、グリッドに継承されると同時に有効になります。 コントローラまたはグリッドの再起動は必要ありません。 グリッドとグローバル ディレクトリ サービスとの相互操作には以下の制約が影響します。

• ユーザとグループの ID は有効な UTF-8 文字列である必要があり、次の制限があります： / 無効な文字です。すえての ASCII 制御文字は無効です。ID をピリオドとスペース文字のみにすることはできません。
• 汎用 LDAP 設定では、次の標準 LDAP ユーザおよびグループ オブジェクト クラスのみを認識します： person、inetOrgPerson、organizationalPerson、groupOfNames、groupOfUniqueNames。

注： BFC での認証の設定に関する情報を参照することをお勧めします。