登録済みデータ ソースで同じ LDAP スキームを使用してユーザを認証するように指示するには、Single Sign-On 設定ツールを使用します。 Single Sign-On 設定ツールでは、CA サーバを LDAP サーバに安全に接続できるようにするパラメータを指定できます。 設定ツールを使用すると、LDAP カタログのユーザと、CA Performance Center 内の事前定義済みユーザ アカウントまたはカスタム ユーザ アカウントのいずれかを関連付けることもできます。
GSSAPI などの認証メカニズムを使用している場合、LDAP 認証を有効にするための手順はわずかに異なります。 認証メカニズムなしで、サービス アカウントを使用して LDAP サーバにバインドする必要があります。 このアカウントには、LDAP サーバへの読み取りおよび検索のアクセス権が必要です。 接続ユーザの完全な DN (識別名)を提供する必要があります。また、[ユーザ バインド]パラメータを有効にする必要があります。
シングル サインオンは、[接続ユーザ]および[接続パスワード]パラメータに指定した認証情報を使用して、LDAP サーバにバインドします。 次にシングル サインオンは、[検索文字列]パラメータに指定された文字列に基づいてディレクトリ検索を実行します。 検索結果には、ユーザの DN が含まれます。 シングル サインオンは、この DN とパスワードを使用して LDAP サーバへの 2回目のバインドを実行します。
重要: 認証メカニズムが使用されない場合は、LDAP サーバに対して SSL 接続を確立することを強くお勧めします。 そうしないと、パスワードがクリア テキストで LDAP サーバに転送されます。
次の手順に従ってください:
root としてログインするか、または「sudo」コマンドでログインします。
InstallationDirectory/CA/PerformanceCenter
オプションを選択するように促されます。 利用可能なオプションは、ローカル サーバ上で実行される CA アプリケーションに対応します。
オプションを選択するように促されます。
優先度を指定するように促されます。
優先度パラメータは CA Performance Center のみに適用されます。
管理者のみが変更できる設定を参照します。 そのような設定は、CA Performance Center のこのインスタンスに登録された他のすべての CA 製品に継承されます。 対応する[ローカル上書き]値が存在しない場合、[リモート値]設定のみが使用されます。
すべての製品に対して変更できる設定を参照します。 [ローカル上書き]値が存在する場合、[リモート値]とデフォルト設定のいずれよりも優先されます。
設定するプロパティを選択するように促されます。
LDAP サーバに接続するためにログイン サーバが使用するユーザ ID (この場合、サービス アカウントのユーザ ID)を定義します。 この LDAP ユーザ名はサーバにバインドするために使用されます。
重要: GSSAPI などの認証メカニズムを使用していない場合、このパラメータには、LDAP サーバの読み取りおよび検索アクセス権を持つサービス アカウントが必要です。
ログイン サーバで LDAP サーバへの接続に使用するパスワードを定義します。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の例のようなテキストを入力します。
SomePassword
CA Single Sign-On が接続する LDAP サーバおよびポートを特定します。 ユーザ アカウントの認証情報を確認する場合にディレクトリ ツリー内でユーザを検索する場所も特定します。 文字列内でサーバの後にポート番号を指定しない場合、ポート 389 が使用されます。
検索ドメインには以下の形式を使用します。
LDAP://ldap_server:port/path_to_search
注: 検索パスは必須です。
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索範囲]パラメータと共に動作します。 LDAP ユーザのサブセットのみがログインできるようにする場合は、検索文字列を使用して、レコード内の複数のプロパティを検索できます。 このパラメータの値には、任意の有効な LDAP 検索条件を含めることができます。
例:
(saMAccountName={0})
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索文字列]パラメータと共に使用されます。 LDAP サーバがユーザ アカウントに対して実行する検索の範囲を決定します。 以下の値のいずれかを入力します。
現在のディレクトリを検索に含めます。 現在のディレクトリでオブジェクトと一致し、ディレクトリ内でさらに予期しない一致が生じないようにします。
すべてのサブディレクトリを検索に含めます。 ほとんどのインストール環境にお勧めします。
検索をベース オブジェクトに制限します。
指定した認証情報を検証するために、ユーザの識別名(DN)およびパスワードを使用して追加の認証ステップ(バインド)を実行するかどうかを指定します。
重要: 手順 1 と 2 でサービス アカウントを入力した場合、このパラメータは「有効」に設定する必要があります。
デフォルト: 無効。
LDAP サーバに再度バインドするときに使用する認証メカニズムを指定します。
デフォルト: Simple
指定可能な値: Simple、GSSAPI、DIGEST-MD5
グループ メンバシップのない検証済みの LDAP ユーザをマップする CA Performance Center デフォルト アカウントを指定します。 [アカウント パスワード]パラメータと共に動作します。 有効なユーザがグループ定義に一致しない場合、このパラメータに対して指定されたデフォルト ユーザ ID でログインされます。
すべてのユーザが自分のユーザ名でログインできるようにするには、以下のように入力します。
注: [アカウント ユーザ]パラメータは、このユーザ用のディレクトリ エントリからのフィールドに対応します。 通常、値はユーザの検索フィルタに一致します。
検証済みの LDAP ユーザが[グループ]パラメータに指定されていないグループのメンバである場合に、クローンを作成するユーザ アカウントを指定します。
例: そのようなユーザに最小の権限を付与する場合は、「user」を入力します。
注: 既存のユーザ アカウントが必要です。
選択したユーザ アカウントまたはアカウントのグループに対して処理するデフォルト アカウントを決定できます。
例: グループのすべてのメンバが管理者アカウントを使用してログインできるようにするには、以下のように入力します。
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
LDAP サーバへの認証を確認をする間に、CA Performance Center が待機する時間を指定します。 認証確認がタイムアウトになる場合、ログインしようとするユーザはアクセスが拒否されます。 エラーを参照するには、SSOService.log ファイルを開きます。 タイムアウトのデフォルト値は 10000 です。
設定ツールが閉じます。
設定例
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|