4.1 LDAPディレクトリからアイデンティティボールトへのデータフローの制御

Figure 4-1 サンプル環境設定ファイル内の設定

ドライバの動作パラメータを調整することで、ネットワーク環境と協調するようにドライバの動作を調整できます。たとえば、デフォルトの発行者チャネルポーリング間隔が同期に必要な間隔より短いことが判明したとします。この間隔を長くすることで、適切な同期を維持しながら、ネットワークパフォーマンスを改善できる場合があります。

LDAPサーバに変更ログがある場合は、変更ログ発行方式を採用することをお勧めします。変更ログを利用できない場合は、LDAP検索発行方式を採用します。変更ログ方式が、優先される方式です。

4.1.1 LDAPドライバ設定

Figure 4-2 LDAPドライバ設定

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順にクリックし、ドライバセットを検索します。

  2. ドライバセットで、LDAPドライバアイコンをクリックします。

  3. [ドライバ]ビューで、もう一度LDAPドライバアイコンをクリックします。

  4. [ドライバパラメータ]までスクロールします。

  5. [ドライバ設定]セクションで、目的のオプションを選択します。

    設定については、情報アイコン をクリックします。

4.1.2 LDAP購読者設定

Figure 4-3 LDAP購読者設定

サンプル環境設定ファイルをインポートする場合は、この設定の入力を要求するメッセージは表示されません。ただし、ファイルをインポートした後に設定を変更できます。[購読者設定]セクションで、目的のオプションを選択します。

デフォルトの設定は[はい]です。ほとんどのLDAPサーバでは、RFC 2251のセクション4.1.5.1で定義されているバイナリ属性オプションを使用できます。

このドライバの接続先LDAPサーバがバイナリ属性オプションをサポートしているかわからない場合は、[はい]を選択します。

4.1.3 LDAP発行者設定: 変更ログとLDAP検索方式

Figure 4-4 LDAPの共通発行者設定

一部の設定は、変更ログ発行方式とLDAP検索発行方式の両方に適用されます。また、変更ログ発行方式のみに適用される設定もあります。それ以外の設定は、LDAP検索発行方式だけに適用されます。

ポーリング間隔(秒)

ドライバがLDAPサーバの変更ログまたはLDAP検索方式をチェックする間隔。新たな変更が検出されると、変更はアイデンティティボールトに適用されます。

推奨ポーリング間隔は120秒です。

一時ファイルディレクトリ

一時的な状態のファイルを書き込めるローカルファイルシステム(ドライバが実行しているファイルシステム)のディレクトリに値を設定します。パスを指定していない場合、ドライバではデフォルトのドライバパスが使用されます。

Table 4-1 一時ファイルディレクトリ

プラットフォームまたは環境

デフォルトのディレクトリ

eDirectory

DIBファイルのディレクトリ

リモートローダ

リモートローダのルートディレクトリ

これらのファイルは、次のような場合に役立ちます。

  • ドライバがシャットダウン中でもドライバの整合性を維持する
  • 検索対象のデータが広範な場合のメモリ不足を防ぐ

ハートビート間隔(分)

ハートビートをオンにするには、値を入力します。ハートビートをオフにするには、このフィールドを空白のままにします。

ドライバのハートビートについては、『Novell Identity Manager 3.0管理ガイド』の「ドライバのハートビートの追加」を参照してください。

4.1.4 LDAP発行者設定: 変更ログ方式のみ

Figure 4-5 LDAP発行者チャネルでの変更ログ設定

起動時に処理する変更ログエントリ

このパラメータでは、起動時に処理するエントリを指定します。

  • すべて: 変更ログで検出されたすべての変更が、発行者の処理対象になります。この操作は、すべての変更が処理されるまで続行されます。ポーリング間隔に応じて、新たな変更は発行者により処理されます。
  • なし: ドライバの実行開始時点で既存のエントリは、発行者の処理対象外になります。ポーリング間隔に応じて、新たな変更は発行者により処理されます。
  • 前回は未処理: この設定はデフォルトです。初めてドライバが実行された場合、ドライバは、新たなすべての変更を処理するために、初回実行時の「すべて」のように動作します。

    ドライバが前に実行されたことがある場合は、この設定では、最後にドライバが実行したとき以降の新たな変更だけが、発行者により処理されます。その後は、ドライバによって、ポーリング間隔に従って新たな変更が処理されます。

変更ログ方式を利用する場合は、ドライバでバッチサイズとループバックの回避の設定が検索されます。

変更ログ処理の最大バッチサイズ

発行者チャネルでLDAP変更ログの新しいエントリを処理する場合は、このサイズのバッチのエントリが発行者から要求されます。変更ログのエントリ数がこの値より少ない場合は、そのすべてが直ちに処理されます。変更ログのエントリ数がこの値より多い場合は、エントリはこのサイズのバッチで順次処理されます。

優先されるLDAPオブジェクトクラス名

[優先されるLDAPオブジェクトクラス名]の設定は、発行者チャネルでの優先オブジェクトクラスを指定できるオプションのドライバパラメータです。

Identity Managerでは、1つのオブジェクトクラスを使用して該当するオブジェクトを指定する必要があります。ただし、多くのLDAPサーバとアプリケーションでは、1つのオブジェクトに対し、複数のオブジェクトクラスを一覧表示できます。デフォルトでは、LDAP用Identity Managerドライバは、LDAPサーバまたはアプリケーションで追加、削除、または変更されたオブジェクトを検出すると、イベントをメタディレクトリエンジンに送信し、スキーマ定義の最も多くのレベルを継承したオブジェクトクラスを使用してそのイベントを特定します。

たとえば、inetorgperson、organizationalperson、person、およびtopの各オブジェクトクラスで特定されるユーザオブジェクトがLDAPに存在します。inetorgpersonは、スキーマの最も多くのレベルを継承しています(top、person、organizationalpersonの順で段階的に継承します)。デフォルトでは、ドライバはメタディレクトリエンジンにレポートするオブジェクトクラスとしてinetorgpersonを使用します。

ドライバのデフォルトの動作を変更する場合は、preferredObjectClassesという名前のオプションのドライバ発行者パラメータを追加できます。このパラメータの値には、1つのLDAPオブジェクトクラスまたは複数のLDAPオブジェクトクラスをスペースで区切ったリストのいずれかを指定できます。

このパラメータが存在する場合は、LDAP用Identity Managerドライバにより、発行者チャネルに存在する各オブジェクトが調べられ、リスト内にいずれかのオブジェクトクラスが含まれているかどうか確認されます。オブジェクトクラスは、preferredObjectClassesパラメータに記載されている順に検索されます。一覧表示されたオブジェクトクラスのいずれかが、LDAPオブジェクトのobjectclass属性のいずれかの値と一致すると、そのクラスはメタディレクトリエンジンにレポートするクラスとしてこのドライバで使用されます。オブジェクトクラスのいずれとも一致しない場合、このドライバがプライマリオブジェクトクラスをレポートするためのデフォルトの動作になります。

ループバックの回避

[ループバックの回避]のパラメータは、変更ログ発行方式でのみ使用されます。LDAP検索方式では、メタディレクトリエンジンに組み込まれているループバック回避しか行われません。

発行者チャネルのデフォルトの動作では、購読者チャネルで加える変更の送信が回避されます。発行者チャネルでは購読者チャネルの変更を検出するために、creatorsName属性またはmodifiersName属性でLDAP変更ログが調べられ、変更を加えた認証済みエントリがこのドライバのLDAPサーバに対する認証に使用されるエントリと同じかどうかを確認します。エントリが同じ場合、発行者チャネルでは、この変更がドライバの購読者チャネルで行われたと見なされ、変更は同期されません。

サンプルシナリオとして、購読者チャネルがこのドライバ向けに設定されていなくても、変更を行う他のプロセスと同じDNおよびパスワードを使用できるようにします。

このタイプのループバックを確実に発生させるには、ドライバパラメータを次のように編集します。

  1. iManagerで、[Identity Manager管理]>[Identity Managerの概要]の順に選択します。

  2. ドライバセット内でドライバを検索します。

  3. ドライバをクリックしてドライバの概要ページを開き、もう一度ドライバをクリックして[オブジェクトの変更]ページを開きます。

  4. [発行者設定]セクションまでスクロールし、[ループバックの回避]を[いいえ]に設定します。

  5. [OK]をクリックし、[適用]をクリックして、このパラメータが有効になるようにドライバを再起動します。

4.1.5 LDAP発行者設定: LDAP検索方式のみ

Figure 4-6 LDAP発行者チャネルでのLDAP検索の設定

従来、LDAPドライバでは、変更ログを読み込むだけでLDAPサーバでの変更を検出できていました。ただし、変更ログは実際のところLDAP標準ではないため、一部のサーバでは変更ログメカニズムが採用されていません。変更ログが存在しない場合、従来のLDAPドライバではこのようなLDAPサーバに関するデータをアイデンティティボールトに発行できませんでした。

しかし、LDAP検索発行方式では変更ログを必要としません。この方式では、標準のLDAP検索を使用した上で、ある検索間隔から次の間隔までの結果を比較し、変更を検出します。

LDAP検索発行方式は、従来の変更ログ発行方式の代替方式として利用できます。LDAP用Identity Managerドライバは、どちらの方式もサポートしています。ただし、変更ログ方式はパフォーマンスの面で優れており、変更ログが使用可能な場合は優先される方式です。

変更ログを使用できない場合は、次のパラメータを設定します。

ベースDNの検索

変更ログが使用できない環境で発行者チャネルを使用する場合に必要なパラメータ。このパラメータにはポーリング検索を開始するコンテナのLDAP識別名(DN) (ou=people、o=companyなど)を設定します。

変更ログを使用するには、このパラメータを空白のままにします。

検索スコープ(1-サブツリー、2-レベル、3-ベース)

ポーリング検索の深さを指定します。このパラメータのデフォルトでは、検索ベースDNで指定したサブツリー全体が検索対象になります。

変更ログが使用可能でない場合にこのパラメータを設定します。

クラスの処理順序

参照属性に問題がある場合に特定のイベントを並び替えるために発行者チャネルで使用されるオプションのパラメータ。このパラメータの値は、LDAPサーバからのクラス名をスペースで区切った形式のリストです。たとえば、確実に新規ユーザを作成してからグループに追加するには、interorgpersonを必ずgroupofuniquenamesより前に指定します。

LDAP用Identity Managerドライバでは、明示的に示されたクラス以外のすべてのクラスを表す特別なクラス名「others」が定義されています。

このパラメータのデフォルト値は「other groupofuniquenames」です。

変更ログを使用できない場合にこのパラメータを使用します。

初回起動時の検索結果の同期

LDAPドライバが初めて起動したときに、定義済みのLDAP検索が実行されます。[初回起動時に検索結果を同期]設定で、最初の検索結果を同期するか、それ以降の変更だけを同期するかを定義します。

[初回起動時に検索結果を同期]オプションは、[発行方法]パラメータが[LDAP検索]に設定されている場合にのみ表示されます。環境設定ファイルをインポートする場合は、この設定の入力を促すメッセージは表示されません。ただし、ファイルをインポートした後に設定を変更できます。

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順にクリックし、ドライバセットを検索します。

  2. ドライバセットで、LDAPドライバアイコンをクリックします。

  3. ドライバビューで、もう一度LDAPドライバアイコンをクリックします。

  4. [ドライバパラメータ]までスクロールします。

  5. [発行者設定]セクションで、目的のオプションを選択します。

    デフォルトの設定は、[この後の変更分のみを同期する]です。