SK VMS User Manual
LDAP 連携により、システムは LDAP サーバーからユーザーおよびユーザーグループをインポートできます。
•インポートするユーザーは、LDAP データベースのオブジェクトツリーに存在しており、インポート条件に合致し、かつLDAP サーバーで無効化されていない必要があります。
•LDAP グループおよびユーザーには権限を割り当てることができ、ビルトインの管理者グループを除く既存のシステムグループに配置できます (「ユーザーの設定」および「グループの設定」参照)。
•LDAP グループには、設定に関して特殊な仕様があります (「グループの設定」参照)。
•LDAP ユーザーは、LDAP ユーザー名およびパスワードを使用してシステムにアクセスできます。
•LDAP サーバーと通信できない間、LDAP ユーザーはログインできません (「LDAP 同期障害」参照)。
•以下の LDAP サーバーに対応しています。
oMicrosoft Active Directory
oOpen LDAP Server
oJumpCloud
重要: システムへの接続以上の操作を行うには、LDAP ユーザーにリソース権限が付与されているか (「権限管理」参照)、ビルトイングループに追加されている必要があります。
LDAP 連携設定
LDAP ユーザーをインポートしてシステムに接続できるようにするには、SK VMS と LDAP サーバー間の接続を確立する必要があります。LDAP サーバーは、メディアサーバーと同じ LAN 上に存在する必要はありませんが、LAN または WAN 経由でメディアサーバーからアクセスできる必要があります。
•LDAP 連携は、ネットワーク (ドメイン) 管理者自身が、もしくはその協力のもとに、実行する必要があります。
•LDAP over SSL では、LDAP サーバーと SK VMS サーバーの両方で証明書が必要になる場合があります。
注: LDAP 連携の設定では、検索ベースとしてドメインのベース識別名 (DN) を指定せず、代わりにベース DN の下にある組織単位 (OU) を指定してください。これは、OU メンバーシップではフィルタリングできず、グループメンバーシップではフィルタリングできるためです。
指定されたグループのメンバーであるすべてのユーザーを取得するには、memberOf 属性でフィルタリングしてください。
例: memberOf=CN=Security Users,CN=Users,DC=DOMAIN,DC=LOCAL
1.[メインメニュー > ユーザー管理] からダイアログを開き、[LDAP] タブに切り替えてください。
システムに LDAP 情報が存在しない場合は「設定」ボタンが表示されます。情報が存在する場合、LDAP ダイアログに以下の概要情報が表示されます。
•サーバー
•サーバーステータス
•最終同期日時
•取得されたユーザーとグループの数
2.「設定」ボタンまたは概要情報の下にある「編集」ボタンをクリックし、[LDAP 接続設定] ダイアログを開いてください。
3.以下の情報を入力してください (必要に応じて、ネットワークまたはドメインの管理者にお問い合わせください)。
•ホスト: (ldap:// or ldaps://)
重要: サーバー URL を使用する場合は、完全修飾ドメイン名 (FQDN、絶対ドメイン名とも) での利用が必要となる可能性があります。FQDN についての詳細は、https://ja.wikipedia.org/wiki/Fully_Qualified_Domain_Name をご参照ください。
•ログインDN
•パスワード
•オプション:
oStartTLS を使用する
oLDAP サーバーの証明書エラーを無視する
4.「テスト」ボタンをクリックして、サーバー接続および認証情報の検証を行ってください。以下のいずれかのメッセージが表示されます。
•接続OK
•LDAP サーバーに接続できません。
•LDAP 認証情報が無効です。
5.テストが成功したら、「OK」ボタンをクリックして接続設定を保存してください。この場合、LDAP 概要に移行します。「キャンセル」をクリックすると、入力したすべての設定が破棄され、[LDAP 接続設定] ダイアログが終了します。
6.「検索ベース」見出しの「+ 追加」ボタンをクリックして [検索ベースの追加] ダイアログを開き、以下の情報を入力してください。
•名前 – 任意の識別名。
•ベースDN – LDAP 検索と同期の開始点。
•フィルター – ベースDN のうち、許可されるユーザーやグループ (オプション)。
7.「OK」をクリックしてダイアログを閉じてください。ユーザー管理ダイアログの [LDAP] タブに戻ります。
8.「適用」をクリックして、検索ベースのパラメーターを保存してください。LDAP サーバーからユーザーとグループの情報を取得します。取得が成功すると、ユーザーとグループの数が更新されます。
9.オプション – 「詳細設定」をクリックすると、以下の設定の確認および変更ができます。
•ユーザーを同期 – 「常時」または「ログイン時」。
•同期間隔 – 数値: 1 ~ 9999999、単位: 『秒』『分』『時間。
•LDAP リクエストのプロキシサーバー – LDAP サーバーに接続するためのサーバーを選択するか、「自動」を選択してください。
o自動モードでは、各サーバーが LDAP に直接接続しようとします。接続が失敗した場合、システム内のすべてのサーバーが接続を試みます。特定のサーバーが選択されているが、そのサーバーが使用できない場合、システムは自動モードで動作します。
•ユーザー – ログイン属性に特定の値を指定するには、「自動」の選択を解除してください。インポートされるユーザーに対して安全でない (Digest) 認証を許可する場合は、チェックボックスで指定してください。
•グループ – 特定の objectClass 値を指定するには、「自動」の選択を解除してください。
•メンバーシップ – 特定のグループメンバー属性を指定するには、「自動」の選択を解除してください。
LDAP サーバーからのユーザーのインポート
LDAP ユーザーおよびグループは、LDAP 連携が完了して検証され次第インポートされます。LDAP 同期を強制するには、以下の手順に従ってください。
1.[メインメニュー > ユーザー管理 > LDAP] タブを開いてください。
2.ユーザー数とグループ数の下に、前回同期のタイムスタンプと更新アイコンがあります。
3.強制的に LDAP 同期するには、更新アイコンをクリックしてください。なお、詳細設定で同期間隔が 1 分以下に設定されている場合、更新アイコンは表示されません。
4.インポート後、LDAP ユーザーの有効化・無効化 (「ユーザーの有効化と無効化」参照)、ユーザー権限の割り当て、権限グループへの配置などを行えるようになります (「ユーザーの設定」参照)。
注: LDAP ユーザーは、Web Admin を使用する前に、デスクトップクライアントで一度正常にログインする必要があります。
LDAP サーバーの変更または再設定
LDAP サーバー連携を変更または再設定すると、既存の LDAP ユーザーがシステム上で無効になる可能性があります。LDAP 連携の変更によって既存の LDAP ユーザーやグループの有効性が損なわれる可能性がある場合は、警告バナーと確認ダイアログが表示されます。
システムからの LDAP サーバーの削除
1 回以上同期された LDAP サーバー接続を削除すると、システムからすべての LDAP ユーザーおよびグループが削除されます。LDAP ユーザーのすべてのシステム権限とグループメンバーシップ情報が削除され、LDAP ユーザーのすべての履歴がユーザーの操作履歴から削除されます。このアクションは元に戻せません。
1.[システム管理 > ユーザー管理 > LDAP] タブを開いてください。
2.「編集」ボタンと「詳細設定」ボタンの隣にある「切断」ボタンをクリックしてください。
3.確認画面で切断による影響を確認した上で、「切断」をクリックしてください。
LDAP 警告
LDAP設定、テスト、更新同期中に以下の警告が表示される場合があります。
•既存の LDAP ユーザーとグループを削除:
oこの警告は、システムから既存のすべての LDAP ユーザーを強制的に削除するアクションに対して表示されます。
•LDAP サーバーの切断 確認:
oこのダイアログは、LDAP サーバーを切断し、システムからすべての LDAP ユーザーを削除する前に表示されます。
•LDAP サーバーがオフライン:
oこのバナーは、ユーザー管理ダイアログおよび各LDAPユーザーの個別設定画面に表示され、現在システムに接続できないユーザーの数が表示されます。
•ユーザーのログイン名重複:
oこのバナーは、インポートされた LDAP ユーザー名がシステム内の既存のユーザー名と競合する場合に、ユーザー管理ダイアログに表示されます。システムアカウントが優先され、重複した LDAP ユーザーはログインできない状態になります。
•LDAP Digest 認証:
oLDAP インポート時の Digest 認証設定を変更する際、一部ユーザーの個別設定も行う必要がある場合に、情報バナーが表示されます。
