前回の続きです。
管理者メンテナンスとは
管理者がユーザの追加、編集、削除やパスワードの強制変更、グループの管理などを行うWebアプリケーションと、Webアプリケーションから送信された情報をLDAPサーバに反映するプラグインです。
グループに割り当てる「ロール」を用いた参照/編集権限の管理、マッピング関数を使用したLDAP属性への値の割り当てや、画面表示値の動的な生成などが可能です。
事前準備
JDKの準備
JDKにはEclipse Temurinを使用しました。
提供サイトからVersion 17、Windows x64用のzipをダウンロードし、任意の場所に展開します。
環境変数JAVA_HOMEおよびPathを設定します。
サーバを再起動します。
Tomcatのインストール
Version 10.1.33のインストーラー版を使用しました。
プラグイン側の設定
LDAP Manager コンソールを開き、上メニュー「環境設定」 > 「管理者ユーザメンテナンス1」を選択。
反映先となるLDAPサーバ、ユーザエントリを一意に識別する属性名(RDN属性名)、拡張パスワード属性名、ユーザエントリで使用するオブジェクトクラス、エントリ/コンテナの識別文字(LDAP Managerの管理対象かどうかを判定する文字)を入れた属性と属性値などを指定します。
アカウント削除方法は「無効」としました。
属性マッピングでは、最低限personオブジェクトクラスの必須属性であるsn、cnをマッピングする必要があります。
次に、「管理者パスワードメンテナンス1」の環境設定を行います。
ここでは、対象ディレクトリの指定のみでも問題ありません。
マッピングが未設定でも、userPasswordおよびuserPasswdInfo属性などのWebアプリケーション側で更新された属性は自動的にLDAPサーバに反映されます。
最後に、「管理者グループメンテナンス1」の環境設定を行います。
反映先のLDAPサーバ、使用するオブジェクトクラスなどを指定します。
拡張メンバ属性として、事前に用意していたexexmember1、2を指定しました。
マッピングは以下の通り設定しました。
Webアプリケーションのデプロイ
<tomcat_home>\webapps\ にadmin-mtn-svフォルダをコピーします。
管理者メンテナンスの設定
基本設定
<tomcat_home>\webapps\admin-mtn-sv\WEB-INF\configTool\adminmtn-setup.batを実行し、「管理者メンテナンス設定」を起動します。
まず、システムIDにはLDAP Manager用のシステムIDを設定します。
LDAP Managerサーバ情報には、サーバの名称とホスト名、ポート番号を指定します。
LDAPサーバ情報には、LDAPサーバの各接続情報を設定します。
クラウド印刷機能は使用しなかったため、設定をスキップしました。
LDAP属性情報では、<LDAP Managerインストールディレクトリ>\conf\directory.iniをコピーし、入力元データとしました。
認証情報設定では、LDAP Manager認証を指定しました。
グループ情報は一旦デフォルトとします。
ここで列挙されているグループを、LDAP Manager本体側にも作成し、ユーザに割り当てます。
管理者ユーザメンテナンスの設定
まずは、「アプリケーション情報」 > 「ユーザメンテナンス」から、デフォルトで設定されているロールを「修正」します。
LDAP Managerサーバを指定し、実行プラグイン名にはMGRGUI1を指定します。
今回は指定していませんが、連携プラグインを指定するとメンテナンス後に別のプラグインをリモート実行できます。
「LDAP情報」タブでは対象のLDAPサーバと、ユーザエントリのあるコンテナのDNをベースDNとして指定します。
その他、「コンテナ抽出フィルタ」および「ユーザ抽出フィルタ」の一部をdescription=LMに変更し、RDN属性名はプラグインに合わせcnを指定、自動採番しないように設定しています。
「エントリ操作設定」では、すべての操作を許可としました。
「印刷&メール送信」はデフォルトとしました。
「ユーザメンテナンスコンポーネント設定画面」では、標準の検索KEYにユーザID=cn、LDAPフィルタに英語姓=snと英語名=givenNameを使用できるようにし、snとgivenNameのANDを「姓名」という名前の「よく使うボタン」として登録しました。
RDN値入力チェックは使用しないため、デフォルトとしました。
「ユーザ一覧表示」では、表示する項目をユーザID=cn、英語姓=sn、英語名=givenName、アカウント有効/無効=exgEnabledFlag、固有番号=uidとしました。
「ユーザ詳細画面設定」では、ユーザ詳細画面の基本情報タブにて表示・編集する項目として英語姓=sn、英語名=givenName、パスワード=userPasswordを指定しています。
ここに設定した属性は、プラグイン側の設定において「管理者メンテナンス属性名」として指定され、適切な「LDAP属性名」にマッピングされている必要があります。
管理者パスワードメンテナンスの設定
ここでもまず、「アプリケーション情報」 > 「パスワードメンテナンス」からデフォルトのロールを「修正」します。
LDAP Managerサーバを指定し、拡張パスワード属性を追加します。
「LDAP情報タブ」では、接続先となるLDAPサーバとユーザエントリのあるコンテナのDN、ユーザ抽出フィルタを設定しました。
LDAP→AD反映を連携プラグインに指定していないため、「ADアカウントロック解除」は許可しない設定としました。
印刷設定は使用しないためデフォルトとしました。
「パスワードメンテナンスコンポーネント設定画面」はすべてデフォルトとしました。
管理者グループメンテナンスの設定
グループメンテナンスにおいても、まずはデフォルトのロールを変更します。
接続先のLDAP Managerサーバと、実行プラグイン名を指定します。
「LDAP情報」タブでは接続先LDAPサーバをまず指定します。
次に、「グループ情報」タブではグループエントリのあるコンテナのDNをベースDNに、また各フィルタ等を環境に合わせて指定します。
「ユーザ情報」タブにおいても、ユーザエントリのあるコンテナのDNの指定と各フィルタの設定を行います。
「エントリ操作設定」はすべて許可としました。
「グループメンテナンスコンポーネント設定画面」においては、メンバ検索KEYにユーザID=cn、フィルタに英語姓=sn、英語名=givenNameを使用する設定にし、グループ検索KEYにグループ名=cnを使用するように指定しました。
「RDN値入力チェック」は使用しないためデフォルトとしました。
グループエントリ表示設定では、グループ名=cnと組織単位=ouが表示され、ouで昇順ソートされるようにしました。
「グループエントリ編集画面設定」タブでは「基本情報」タブで組織単位=ouが、追加した「追加情報タブ」で職種=businessCategoryが編集できるように設定しています。
「メンバリスト属性設定」では、拡張メンバ属性であるexexgmember1が「上長」という名称の拡張メンバ属性となるように設定しています。
メンバ一覧設定では、ユーザの属性として英語姓=sn、英語名=givenName、ユーザID=cnを、グループの属性としてグループ名=cnを表示するように設定しました。
メンバとしてグループを追加したい場合、必ずこのようにグループの属性も追加する必要があります。
ここまでで、管理者メンテナンスの基本的な機能を検証するための設定は終了です。
次の記事では、設定した管理者メンテナンスを実際に操作して動作を検証した後、応用的動作の確認を行います。