安全なユーザ認証のため、登録済みデータ ソースに LDAP over SSL (LDAPS)を使用するよう指示するには、Single Sign-On 設定ツールを使用します。 デフォルトでは、LDAP トラフィックの送信は保護されません。 認証機関(CA)からの証明書をインストールして、LDAPS を有効にします。 CA Single Sign-On では、Java 信頼済みキーストアに証明書をインポートする必要があります。
Single Sign-On 設定ツールでは、CA サーバを LDAP サーバに安全に接続できるようにするパラメータを指定できます。 設定ツールを使用すると、LDAP カタログのユーザと、CA Performance Center 内の事前定義済みユーザ アカウントまたはカスタム ユーザ アカウントのいずれかを関連付けることもできます。
次の手順に従ってください:
root としてログインするか、または「sudo」コマンドでログインします。
InstallationDirectory/CA/PerformanceCenter
オプションを選択するように促されます。 利用可能なオプションは、ローカル サーバ上で実行される CA アプリケーションに対応します。
オプションを選択するように促されます。
優先度を指定するように促されます。
[優先度]パラメータは CA Performance Center のみに適用されます。
管理者のみが変更できる設定を参照します。 そのような設定は、CA Performance Center のこのインスタンスに登録された他のすべての CA 製品に継承されます。 対応する[ローカル上書き]値が存在しない場合、[リモート値]設定のみが使用されます。
すべての製品に対して変更できる設定を参照します。 [ローカル上書き]値が存在する場合、[リモート値]とデフォルト設定のいずれよりも優先されます。
設定するプロパティを選択するように促されます。
ログイン サーバで LDAP サーバへの接続に使用するユーザ ID を定義します。 この LDAP ユーザ名はサーバにバインドするために使用されます。 サービス アカウントは通常、GSSAPI などの認証メカニズムを使用する接続では必要ではありません。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の構文でテキストを入力します。
CN=The User,cn=Users,dc=domain,dc=com
または、この接続では認証メカニズムを使用しているので、以下の値を入力できます。
{0}
複雑な設定では、ユーザを識別するためにユーザ プリンシパル名が必要です。 「{0}」を指定し、その電子メール アドレスをドメイン名として使用します。 たとえば、以下のようになります。
{0}@domain.com
LDAP サーバでは通常、暗号化された接続の完全な DN は必要ではありません。
注: セキュリティのため、接続ユーザを静的アカウントにしないでください。 LDAP 認証では、サーバにバインドする場合にのみパスワードが確認されます。 静的アカウントを使用すると、LDAP ツリー内に存在するすべてのユーザが任意のパスワードでログインできます。
ログイン サーバで LDAP サーバへの接続に使用するパスワードを定義します。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の例のようなテキストを入力します。
SomePassword
または、この接続では認証メカニズムを使用しているので、以下の値を入力できます。
{1}
CA Single Sign-On が接続する LDAP サーバおよびポートを特定します。 ユーザ アカウントの認証情報を確認する場合にディレクトリ ツリー内でユーザを検索する場所も特定します。 文字列内でサーバの後にポート番号を指定しない場合、ポート 389 が使用されます。
検索ドメインには以下の形式を使用します。
LDAPS://ldap_server:port/path_to_search
注: 検索パスは必須です。
LDAP サーバへの SSL 接続を確立するには、636、またはLDAP サーバの別の SSL 接続ポートを使用します。
LDAPS://LDAP Server:636/OU=Users,OU=North America,DC=ca,DC=com
ディレクトリ内で正しいユーザを検索するために使用する条件を指定します。 [検索範囲]パラメータと共に動作します。 LDAP ユーザのサブセットのみがログインできる場合、検索文字列を使用して複数プロパティのレコードを検索できます。 このパラメータの値には、任意の有効な LDAP 検索条件を含めることができます。
例:
(saMAccountName={0})
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索文字列]パラメータと共に使用されます。 LDAP サーバがユーザ アカウントに対して実行する検索の範囲を決定します。 以下の値のいずれかを入力します。
現在のディレクトリを検索に含めます。 現在のディレクトリでオブジェクトと一致し、ディレクトリ内でさらに予期しない一致が生じないようにします。
すべてのサブディレクトリを検索に含めます。 ほとんどのインストール環境にお勧めします。
検索をベース オブジェクトに制限します。
指定した認証情報を検証するために、ユーザの識別名(DN)およびパスワードを使用して追加の認証ステップ(バインド)を実行するかどうかを指定します。
デフォルト: 無効。 この値は暗号化された接続で指定できます。
(オプション) LDAP サーバに再度バインドするときに使用する認証メカニズムを指定します。
LDAPS では、デフォルト(単純認証)を使用できます。
グループ メンバシップのない検証済みの LDAP ユーザをマップする CA Performance Center デフォルト アカウントを指定します。 [アカウント パスワード]パラメータと共に動作します。 有効なユーザがグループ定義に一致しない場合、このパラメータに対して指定されたデフォルト ユーザ ID でログインされます。
すべてのユーザが自分のユーザ名でログインできるようにするには、以下のように入力します。
注: [アカウント ユーザ]パラメータは、このユーザ用のディレクトリ エントリからのフィールドに対応します。 通常、値はユーザの検索フィルタに一致します。
検証済みの LDAP ユーザが[グループ]パラメータに指定されていないグループのメンバである場合に、クローンを作成するユーザ アカウントを指定します。
例: そのようなユーザに最小の権限を付与する場合は、「user」を入力します。
注: 既存のユーザ アカウントが必要です。
選択したユーザ アカウントまたはアカウントのグループに対して処理するデフォルト アカウントを決定できます。
例: グループのすべてのメンバが管理者アカウントを使用してログインできるようにするには、以下のように入力します。
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
設定ツールが閉じます。
設定例
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|