登録済みデータ ソースで同じ LDAP スキームを使用してユーザを認証するように指示するには、Single Sign-On 設定ツールを使用します。 Single Sign-On 設定ツールでは、CA サーバを LDAP サーバに安全に接続できるようにするパラメータを指定できます。 Digest-MD5 または GSSAPI を使用して LDAP サーバへの接続を暗号化する場合、ユーザが指定した単一のバインド操作が発生します。
設定ツールを使用すると、LDAP カタログのユーザと、CA Performance Center 内の事前定義済みユーザ アカウントまたはカスタム ユーザ アカウントのいずれかを関連付けることもできます。
次の手順に従ってください:
ルートとしてログインするか、または「sudo」コマンドでログインします。
[InstallationDirectory]/CA/PerformanceCenter
オプションを選択するように促されます。 利用可能なオプションは、ローカル サーバ上で実行される CA アプリケーションに対応します。
オプションを選択するように促されます。
優先度を指定するように促されます。
[優先度]パラメータは CA Performance Center のみに適用されます。
管理者のみが変更できる設定を参照します。 そのような設定は、CA Performance Center のこのインスタンスに登録された他のすべての CA 製品に継承されます。 対応する[ローカル上書き]値が存在しない場合、[リモート値]設定のみが使用されます。
すべての製品に対して変更できる設定を参照します。 [ローカル上書き]値が存在する場合、[リモート値]とデフォルト設定のいずれよりも優先されます。
設定するプロパティを選択するように促されます。
ログイン サーバで LDAP サーバへの接続に使用するユーザ ID を定義します。 この LDAP ユーザ名はサーバにバインドするために使用されます。 サービス アカウントは通常、GSSAPI などの認証メカニズムを使用する接続では必要ではありません。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の構文でテキストを入力します。
CN=The User,cn=Users,dc=domain,dc=com
または、この接続では認証メカニズムを使用しているので、以下の値を入力できます。
{0}
複雑な設定では、ユーザを識別するためにユーザ プリンシパル名が必要です。 「{0}」を指定し、その電子メール アドレスをドメイン名として使用します。 例:
{0}@domain.com
LDAP サーバでは通常、暗号化された接続の完全な DN は必要ではありません。
注: セキュリティのため、接続ユーザを静的アカウントにしないでください。 LDAP 認証では、サーバにバインドする場合にのみパスワードが確認されます。 静的アカウントを使用すると、LDAP ツリー内に存在するすべてのユーザが任意のパスワードでログインできます。
ログイン サーバで LDAP サーバへの接続に使用するパスワードを定義します。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の例のようなテキストを入力します。
SomePassword
または、この接続では認証メカニズムを使用しているので、以下の値を入力できます。
{1}
LDAP プロトコル、サーバ、ポート、および初期検索ドメインを示します。 また、ユーザ アカウント認証情報を確認するときに、検索の開始場所が識別されます。
SSL の使用は、認証メカニズム(Simple、GSSAPI、または DIGEST-MD5 など)に依存しません。 ただし、サービス アカウントを使用する場合のように、Simple 認証(SASL)を使用している場合、SSL を有効にすることを強く推奨します。 対照的に、GSSAPI または DIGEST-MD5 などの認証メカニズムでは、SSL は不可欠ではありません。
SSL を使用して安全に接続するには「LDAPS」を使用します。 LDAPS のデフォルト ポートは 636 です。
例:
Active Directory を QASG.local として設定する場合、検索ドメイン文字列は次のようになります。
LDAPS://qasg.local:636/dc=qas,dc=local
ディレクトリ内で正しいユーザを検索するために使用する条件を指定します。 [検索範囲]パラメータと共に動作します。 LDAP ユーザのサブセットのみがログインできる場合、検索文字列を使用して複数プロパティのレコードを検索できます。 このパラメータの値には、任意の有効な LDAP 検索条件を含めることができます。
例:
(saMAccountName={0})
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索文字列]パラメータと共に使用されます。 LDAP サーバがユーザ アカウントに対して実行する検索の範囲を決定します。 以下の値のいずれかを入力します。
現在のディレクトリを検索に含めます。 現在のディレクトリでオブジェクトと一致し、ディレクトリ内でさらに予期しない一致が生じないようにします。
すべてのサブディレクトリを検索に含めます。 ほとんどのインストール環境にお勧めします。
検索をベース オブジェクトに制限します。
指定した認証情報を検証するために、ユーザの識別名(DN)およびパスワードを使用して追加の認証ステップ(バインド)を実行するかどうかを指定します。
デフォルト: 無効。 この値は暗号化された接続で指定できます。
LDAP サーバに再度バインドするときに使用する認証メカニズムを指定します。
この場合(すなわち、認証メカニズムを使用)、LDAP サーバのメカニズムに基づいて、「GSSAPI」または「DIGEST-MD5」を入力します。
デフォルト: Simple
指定可能な値: Simple、GSSAPI、DIGEST-MD5
グループ メンバシップのない検証済みの LDAP ユーザをマップする CA Performance Center デフォルト アカウントを指定します。 [アカウント パスワード]パラメータと共に動作します。 有効なユーザがグループ定義に一致しない場合、このパラメータに対して指定されたデフォルト ユーザ ID でログインされます。
すべてのユーザが自分のユーザ名でログインできるようにするには、以下のように入力します。
注: [アカウント ユーザ]パラメータは、このユーザ用のディレクトリ エントリからのフィールドに対応します。 通常、値はユーザの検索フィルタに一致します。
検証済みの LDAP ユーザが[グループ]パラメータに指定されていないグループのメンバである場合に、クローンを作成するユーザ アカウントを指定します。
例: そのようなユーザに最小の権限を付与する場合は、「user」を入力します。
注: 既存のユーザ アカウントが必要です。
選択したユーザ アカウントまたはアカウントのグループに対して処理するデフォルト アカウントを決定できます。
例: グループのすべてのメンバが管理者アカウントを使用してログインできるようにするには、以下のように入力します。
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
設定ツールが閉じます。
設定の例
|
Copyright © 2013 CA.
All rights reserved.
|
|