統合ガイド › 複数の LDAP サーバとの連携 › 概要

概要

この章では、システムまたはデータベースの管理者を対象に、CA Directory を使用して複数の LDAP サーバと連携するよう CA ControlMinder エンタープライズ管理 を設定する方法について説明します。 複数の LDAP サーバと連携することにより、管理者は複数の LDAP ユーザ ストアを企業レベルの 1 つのユーザ ストアに統合することができます。

複数の LDAP サーバを設定する方法

CA Directory は、分散ディレクトリ バックボーンへの LDAP サーバの統合をサポートします。

CA Directory では、DXlink というユーティリティが提供され、これによって複数の LDAP ディレクトリ サーバに対する検索が可能になります。

以下の図は、CA Directory を使用して複数の LDAP サーバに対して CA ControlMinder エンタープライズ管理 を設定する方法を示しています。

CA Directory を使用して、複数の LDAP サーバ用にエンタープライズ管理サーバを設定するには、以下の手順を実行します。

1. CA Directory をインストールします
2. CA Directory ルータを設定します
3. CA Directory ルータ定義をカスタマイズします
4. DIT 作成のため、データベースにエンティティを入力します
5. CA Directory を開始します
6. Active Directory をユーザ ストアとしてエンタープライズ管理サーバをインストールします

   重要： エンタープライズ管理サーバをインストールする際は以下を指定します。

   • ホスト名 -- CA Directory ホスト名を指定します。
   • ポート番号 -- 「25389」を指定します。
   • ベース DN -- 環境内のすべての Active Directory サーバに共通な DN を指定します。 適用しない場合はこのフィールドを空白にします。
   • （Linux）検索ルート -- 環境内のすべての Active Directory サーバに共通な DN を指定します。 適用しない場合はこのフィールドを空白にします。
   • 管理アカウント -- Active Directory ドメインの 1 つの管理アカウントを指定します。

注： CA ControlMinder エンタープライズ管理 にログインする際は、使用している管理アカウントがメンバであるドメイン名を必ず指定してください。

CA Directory ルータの設定

CA Directory は、Active Directory へのリクエストを、クライアント リクエストに定義されたサフィックスに基づいて、CA ControlMinder によって使用される Active Directory にルーティングします。 CA Directory は、リクエストのルーティングに DXlink ユーティリティを使用します。

この手順を完了する前に、2 つの Active Directory ユーザ ストア（たとえば acdir1 と acdir2）、および dsarouter という名前の CA Directory をインストールしました。

次の手順に従ってください：

1. CA Directory サーバから、コマンド プロンプト ウィンドウを開きます。
2. 以下のコマンドを実行します。

   dxnewdsa -s 1 cadirhost-adrouter 25389
   

   -s 1

   データベース サイズに 1 MB を指定します

   cadirhost -adrouter

   ルータの名前を定義します

   25389

   ルータのポートを指定します

3. 以下のコマンドを使用してルータを停止します。

   dxserver stop cadirhost-adrouter
   

4. 以下のコマンドを使用してルータをインストールします。

   dxserver install cadirhost-adrouter
   

5. 以下のディレクトリに移動します（DXHOME はルータをインストールしたディレクトリの名前です）。

   DXHOME/config/knowledge
   

6. 以下の手順に従って cadirhost-router.dxc ファイルを複製します。
   1. 1 つ目のファイル名を acdir1-dxlink.dxc に変更します
   2. 2 つ目のファイル名を acdir2-dxlink.dxc に変更します
   3. acdir1-dxlink.dxc ファイルを以下のように編集します

      set dsa "acdir1-dxlink" =
      {
          prefix            = <dc "acdir1"><dc "com">
          dsa-name          = <cn "acdir1-dxlink">
          dsa-password      = "secret"
          ldap-dsa-name     = <dc "acdir1"><dc "com"><cn "users"><cn "Administrator">
          ldap-dsa-password = "{CADIR}yKW2cVbG"
          address           = tcp "acdir1" port 389
          auth-levels       = clear-password
          trust-flags       = allow-check-password, no-server-credentials
          link-flags        = dsp-ldap, ms-ad
      };
      

      ldap-dsa-name

      Active Directory にバインドするために使用される識別名（DN）を指定します。

      ldap-dsa-password

      DN の暗号化されたパスワードを定義します。

      注： パスワードの暗号化には dxpassword ユーティリティを使用します。 例： dxpassword -P CADIR <password>

      address

      Active Directory ドメイン コントローラのアドレスを指定します。

   4. acdir2-dxlink.dxc を以下のように編集します

      set dsa "aclabcail-dxlink" =
      {
          prefix            = <dc "acdir2"><dc "com">
          dsa-name          = <cn "acdir2-dxlink">
          dsa-password      = "secret"
          ldap-dsa-name     = <dc "acl"><dc "aclab"><cn "users"><cn "Administrator">
          ldap-dsa-password = "{CADIR}yKW2cVbG"
          address           = tcp "acdir2" port 389
          auth-levels       = clear-password
          trust-flags       = allow-check-password, no-server-credentials
          link-flags        = dsp-ldap, ms-ad
      };
      

CA Directory ルータが設定されました。

CA Directory ルータ定義のカスタマイズ

CA Directory ルータを設定したら、CA Directory ルータ定義をカスタマイズする必要があります。

次の手順に従ってください：

1. 以下のディレクトリに移動します（DXHOME は、CA Directory をインストールしたディレクトリです）。

   DXHOME/config/limits
   

2. 以下の手順を実行します。
   1. default.dxc ファイルのコピーを作成し、元のファイルの名前を dsarouter-adrouter.dxc に変更します
   2. 読み取り専用フラグをファイルから削除します
   3. dsarouter-adrouter.dxc ファイルを開き、以下のフィールドを変更します

      # size limits
      set max-users = 255;
      set max-local-ops = 100;
      set max-op-size = 0;
      
      # time limits
      set max-bind-time = none;
      set bind-idle-time = 3600;
      set max-op-time = 600;
      

      ファイルを保存して閉じます。

3. 以下のディレクトリに移動します。

   DXHOME/config/settings
   

4. 以下の手順を実行します。
   1. default.dxc ファイルのコピーを作成し、元のファイルの名前を dsarouter-adrouter.dxc に変更します
   2. 読み取り専用フラグをファイルから削除します
   3. dsarouter-adrouter.dxc ファイルを開き、以下のフィールドを変更します

      # directory information base
      set alias-integrity = true;
      # distribution controls
      set multi-casting = true;
      set always-chain-down = false;
      # security controls
      set min-auth = clear-password;
      set allow-binds = true;
      set ssl-auth-bypass-entry-check = false;
      # general controls
      set op-attrs = true;
      set transparent-routing = true;
      

      ファイルを保存して閉じます

5. 以下のディレクトリに移動します。

   DXHOME/config/knowledge
   

6. dsarouter-adrouter.dxc ファイルを開くか作成し、auth-levels の文字列値 "anonymous" を削除して、クリア パスワードによるログインのみを有効にします。 例：

   set dsa "cadirhost-adrouter" =
   {
   

       prefix        = <>
       dsa-name      = <cn "cadirhost-adrouter">
       dsa-password  = "secret"
       address       = tcp "cadirhost" port 25389
       disp-psap     = DISP
       snmp-port     = 25389
       console-port  = 25390
   

    auth-levels   = clear-password
   

   ファイルを保存して閉じます。

   重要： IPv4 および IPv6 アドレスの両方が定義されたサーバに CA Directory をインストールした場合、tcp の値には IPv6 と IPv4 のアドレス タイプを指定します。 例： address = tcp "fe80::20d:56ff:fed4:8300%5" port 19389, tcp "192.168.1.1" port 19389

7. adrouter.dxa という名前のファイルを作成し、以下の行を追加し、ファイルを保存して閉じます。

   source "dsarouter-adrouter.dxc";
   source "acdir1-dxlink.dxc";
   source "acdir2-dxlink.dxc";
   

8. 以下のディレクトリに移動します。

   DXHOME/config/logging
   

9. 以下の手順を実行します。
   1. default.dxc ファイルのコピーを作成します
   2. 元のファイルの名前を dsarouter-adrouter.dxc に変更します
   3. 読み取り専用タグを削除します
10. 以下のディレクトリに移動します。

    DXHOME/config/servers
    

11. 以下の手順を実行します。
    1. cadirhost-adrouter.dxi を編集し、以下の行を次のように変更し、ファイルを保存して閉じます。

       #
       # Initialization file written by DXnewdsa
       #
       # logging and tracing
       source "../logging/cadirhost-adrouter.dxc";
       # schema
       clear schema;
       source "../schema/default.dxg";
       # knowledge
       clear dsas;
       source "../knowledge/adrouter.dxg";
       # operational settings
       source "../settings/cadirhost-adrouter.dxc";
       # service limits
       source "../limits/cadirhost-adrouter.dxc";
       # access controls
       clear access;
       source "../access/default.dxc";
       # ssl
       source "../ssld/default.dxc";
       # replication agreements (rarely used)
       # source "../replication/";
       # multiwrite DISP recovery
       set multi-write-disp-recovery = false;
       # grid configuration
       set dxgrid-db-location = "data";
       set dxgrid-db-size = 1;
       set cache-index = all-attributes;
       set lookup-cache = true;
       

注： cadirhost を CA Directory ホスト名で置き換えます。

CA Directory ルータ定義がカスタマイズされました。

DIT を作成するための CA Directory データベースへの入力

Directory Informational Tree （DIT）を作成するために、CA Directory データベースにエンティティが入力されるようにすることができます。 DIT によって組織階層を上から下へ参照することができます。

次の手順に従ってください：

1. CA Directory ルータをホストするサーバで、input.ldif という名前のファイルを作成し、以下のようにエンティティを追加します。

   dn: dc=com
   objectClass: domain
   objectClass: top
   dc: com
   
   dn: dc=company,dc=com
   objectClass: domain
   objectClass: top
   dc: company
   
   dn: dc=demo
   objectClass: domain
   objectClass: top
   dc: demo
   

2. ファイルを保存して閉じます。
3. コマンド プロンプト ウィンドウを開き、以下のコマンドを実行します。

   dxloaddb cadirhost-adrouter input.ldif
   

4. 以下のコマンドを実行して CA Directory ルータを起動します。

   dxserver start cadirhost-adrouter
   

   注： cadirhost を CA Directory ホスト名で置き換えます。

DIT を作成するために CA Directory データベースにエンティティが入力されました。