前回の続きです。
管理者ポータルとは
LDAP Manager コンソールの管理者向け機能の一部をポータル画面として提供するWebアプリケーションです。
各プラグインの手動実行、スケジュール実行の設定、実行結果のログ参照やレポーティングに加え、プラグインを「ジョブ」として登録し、複数のジョブを「一括処理」として実行することが可能です。
事前準備
PostgreSQLの準備
LDAP Managerのサポートリストに記載されているPostgreSQL 16をインストールします。
$ dnf module install postgresql:16/server
インストール後、PostgreSQLを初期化します。
$ postgresql-setup --initdb
以下のように編集して、着信接続をListenするようにします。
listen_addresses = '*'
以下のように編集して、管理者ポータルからの接続を許可するようにします。
# IPv4 local connections:
host all all 192.168.181.0/24 scram-sha-256
PostgreSQLを再起動します。
$ systemctl restart postgresql
データベースとユーザを作成します。管理者ポータル用データベース(ここではlmportalとして作成)のユーザはスーパーユーザで作成する必要があります。
$ sudo -u postgres psql
postgres=# create database lmportal;
CREATE DATABASE
postgres=# create role lmsuper with superuser login password 'lmsuper';
CREATE ROLE
postgres=# grant all on database lmportal to lmsuper;
GRANT
postgres=# alter database lmportal owner to lmsuper;
ALTER DATABASE
postgres=# create database lmlog;
CREATE DATABASE
postgres=# create role lmlog with login password 'lmlog';
CREATE ROLE
postgres=# grant all on database lmlog to lmlog;
GRANT
postgres=# alter database lmlog owner to lmlog;
ALTER DATABASE
ODBCデータソースの準備
LDAP Managerがインストールされているサーバにて、PostgreSQL用ODBCドライバをインストールします。
ODBCドライバの提供サイト
LDAP Managerログ、Webオペレーションログ用のODBCデータソースを作成します。(Unicode、64bit版を使用)
LDAP Manager本体の設定
LDAP Managerコンソール「環境設定」 > 「基本設定」 > 「LDAP Manager ログ管理」、また「Webオペレーションログ管理」から、DB出力先をODBCにし、作成したデータソースを指定します。
設定後、LDAP Managerを再起動します。
共有フォルダの作成
LDAP Managerがインストールされているサーバに共有フォルダを作成します。
設定
セットアップモードでの初期設定
<tomcat_home>\webapps\にlmportalフォルダをコピーします。
<tomcat_home>\webapps\lmportal\WEB-INF\changeSetupMode.batを実行、Tomcatを再起動して管理者ポータルをセットアップモードにします。
http://(ホスト名):(ポート)/lmportal/adminlogin.doにアクセスし、LDAP Managerのリモートユーザでログインします。
次の画面に遷移します。「管理者設定」を行います。
「LDAP Manager 設定」ではLDAP Managerに関する各設定を入力し、「接続確認」の後「追加」して「保存」します。
「LDAPサーバ設定」では、LDAPサーバへの接続情報、ユーザ、グループのフィルタやRDN属性の設定などを行います。
「ユーザ/グループの表示属性名」は省略すると「RDN属性名」の属性値が使用されるため、省略します。
参加しているグループについての情報をユーザは持たないため、「グループ格納ユーザ属性名」は設定しません。
こちらも設定したら「保存」します。
「データベース設定」では、データベースlmportalへの接続情報を設定します。
「データベース設定(ログ)」ではデータベースlmlogへの接続情報を設定します。
「データベース設定(Webオペレーションログ)」では、Webオペレーションログ参照を「利用する」とし、ログが格納されるlmlogデータベースへの接続情報を設定します。
「ログイン情報設定」では管理者ポータルへログインするための認証方法などを指定します。
今回は「LDAPManager認証」としました。
システムIDには「LDAP Manager用」のシステムIDを入力します。
その他、右側の設定は表示タイトルの設定です。
ここまで設定できたら、<tomcat_home>\webapps\lmportal\WEB-INF\install.batを実行してデータベースの初期設定を行います。
続けて、changeNormalMode.batを実行、Tomcatを再起動して管理者ポータルを通常モードに戻します。
通常モードでの設定
http://(ホスト名):(ポート番号)/lmportal/login.doにアクセスし、LDAP Managerのリモートユーザでログインします。
次の画面に遷移します。
「管理者設定」の続きを行います。
「CSVアップロード・ダウンロードフォルダ設定」では、作成した共有フォルダへの接続情報やパスを設定します。
「プラグイン設定」では、管理者ポータルで利用するプラグインを追加します。
今回は「インポート」ボタンでインストール済みのプラグインを一括インポートしました。
「一括処理設定」では、実行したい一括処理を登録します。
まず、「種別編集」ボタンを押下します。
一括処理の種別を追加します。この種別はadminロールを持つユーザだけが表示できるように設定しました。
次に、追加した種別にて「一括処理追加」を押下します。
任意のID・名称と、「データアップロード」、「アップロード先の共有ディレクトリ」の設定を行います。
保存後、「ジョブ編集」ボタンを押下します。
ここでは、「ジョブ」として登録するプラグインもしくは「管理者ポータル前処理プログラム」の「分割結合」「フォーマットチェック」「差分抽出」の3つのコマンドを指定します。
設定したら追加します。
今回はCSV→LDAP反映の実行後、LDAP→ADが実行されるように設定しました。
「スケジュール種別設定」では、即時もしくは指定日時を指定したスケジュールを設定できます。
「Top情報設定」では、Top画面に表示する内容を設定します。
「アクセス権限設定」では、各メニューを実行する権限を設定します。
編集したいメニューの編集ボタン(スパナのボタン)を押下します。
「表示可能権限」に権限を付与したいグループ名を設定します。
この設定では、LDAP Managerにてadminグループに所属するリモートユーザのみが管理者設定メニューを表示できるようになります。
「転送先サービス設定」では、管理者メンテナンスや利用者プロファイルメンテナンスなどのWebアプリケーションへのSingle Sign On用転送設定を行います。
デフォルトでLDAP Managerの各Webアプリケーション用の転送設定が用意されていますが、環境に合わせて変更する必要があります。
管理者ポータルと対象アプリケーションで認証方式が異なる場合、SSOは使用できません。
確認
まずは表示権限を確認します。
testuserユーザでログインしているので、「一括処理種別1」や「管理者設定」が表示されています。
次に、adminグループに参加していないroleuserユーザでログインします。
設定どおり、「一括処理種別1」や「管理者設定」が表示されていません。
また、「個別処理」から管理者メンテナンスに遷移すると、SSOによりroleuserユーザでログインできていることが確認できます。
testuserユーザでログインしなおし、次は一括処理について確認します。
事前にCSV→LDAP反映の反映元となるCSVファイルを生成します。
登録した一括処理を実行します。ここで指定日時を指定した「スケジュール設定」を実行時間に指定すると、毎日その時刻に実行されるようになります。
処理状況を確認します。
両プラグインとも、正常に処理できたことがわかります。
次に、「単独処理実行」を確認します。これは、各プラグイン単体を手動実行するものです。
LDAP側にユーザを追加し、LDAP→AD反映を実行します。
正常な実行が確認できました。
「処理状況確認」からは処理中のジョブを確認・キャンセル可能です。
「一括処理履歴」からは一括処理の履歴を各フィルタを使用して確認・再実行可能です。
「CSVダウンロード」からは指定した共有フォルダ内にあるcsvファイルをダウンロードできます。
「CSVアップロード」からはローカルのcsvファイルを共有フォルダにアップロードできます。
共有フォルダ上のcsvファイルのリネームも可能です。
「ログ管理」 > 「LDAP Managerログ検索」からはログインユーザが実行した処理のログを期間、結果、LDAP Managerサーバ、プラグイン名、内容のフィルタを指定して検索できます。
全体/実行日別/LDAP Managerサーバ別にログのCSV出力も可能です。
「LDAP Managerログ検索(全ユーザ検索)」では、ログインユーザだけでなく全ユーザのログを検索、CSV出力できます。
「LDAP Managerログ検索(単独処理実行)」では、管理者ポータルから単独処理実行されたログのみを検索・CSV出力できます。
「Webオペレーションログ検索」からは管理者ポータルや管理者メンテナンスなどのLDAP ManagerのWebアプリケーションでの処理を検索・CSV出力できます。
「レポーティング」では一括処理の結果について各件数を検索・CSV出力できます。
「レポーティング(プラグイン)」ではLDAP Managerのプラグインの実行結果について各件数を検索・CSV出力できます。
まとめ
管理者ポータルについての検証でした。
LDAP Managerコンソールの機能を大きく拡張するような、便利なWebアプリケーションということがお伝えできていれば幸いです。
次の記事では、LDAPエントリの操作履歴を記録、閲覧できる 操作ログオプション について検証します。