eGuideは、LDAPクライアントアプリケーションです。eDirectoryなどのLDAP準拠データソースにあるデータを扱うことができます。eGuideの設定プロセスには、LDAPデータソースを識別する方法とそのデータソースにeGuideでアクセスする方法が含まれます。eGuideを設定する前に、LDAPサーバについて知っておくべきことがいくつかあります。
LDAPサーバの特徴は、匿名バインドを使用してデータにアクセスできることです。匿名はゲストアカウントと考えることができます。匿名バインドを使用すると、ユーザは自分自身を識別させずにLDAPデータにアクセスできます。匿名を使用する場合は通常、LDAPサーバ上のデータへのアクセスには制限が加えられます。そのため、アクセスできないオブジェクトがあったり、オブジェクトの一部の属性にしかアクセスできなかったりする場合があります。
eDirectoryでは、匿名ユーザは、[Public]という名前の疑似オブジェクトに割り当てられた権利か、LDAPプロキシユーザオブジェクトに割り当てられた権利を持ちます。
デフォルトでは、匿名ユーザはディレクトリ内のオブジェクトに対して[Public]と同じ権利を与えられます。ツリーを作成すると、[Public]にはツリーのルートに対するブラウズ権が与えられます。そのため、デフォルトで同様の権利が与えられている匿名LDAP接続のユーザも、ツリー内のオブジェクトと名前のリストを表示できます。ただし、匿名LDAP接続ではオブジェクトの属性を表示することはできません。
eGuideでは、検索操作に主としてLDAPを使用します。検索操作を行うには、検索対象の属性に対する読み込み権が必要です。たとえば、Jonesという姓のユーザをすべて検索するには、姓の属性に対する読み込み権がLDAP接続に必要です。デフォルトの[Public]オブジェクトによって与えられるブラウズ権は、LDAP検索操作には不十分です。
iManagerでは、ツリーの一部にトラスティとして[Public]を指定することで、オブジェクトとその属性に対する特定の権利を与えることができます。
LDAPプロキシユーザを指定することもできます。LDAPプロキシユーザを指定した場合、匿名アカウントは、[Public]に与えられた権利ではなくProxyオブジェクトの権利を使用します。iManagerでは、LDAPプロキシユーザを作成し、それをツリーの一部に対するトラスティとして指定することで、オブジェクトとその属性に対する特定の権利を与えることができます。LDAPプロキシオブジェクトのDNを指定するには、LDAP Groupオブジェクトを編集します。LDAP Proxyオブジェクトには、NULLパスワードを設定しないでください。
つまり、LDAPデータソースとしてeDirectoryを使用する場合、eGuideの設定時に[匿名を使用]を選択すれば、[Public]またはLDAPプロキシユーザに割り当てられた権利を使用してeGuideで検索を行えるようになります。
もう1つのオプションとして、eGuideプロキシユーザを作成してそれをツリーの一部のトラスティとして指定し、オブジェクトとその属性に対する特定の権利を与える方法もあります。eGuideプロキシユーザはLDAPプロキシユーザと同じように機能しますが、LDAPプロキシがすべてのLDAP匿名バインドに適用されるのに対して、eGuideプロキシユーザはeGuideアプリケーションについてのみ有効です。
LDAPディレクトリへのバインドに匿名を使用するかeGuideプロキシユーザを使用するかは、eGuideの設定時に指定します。
どちらを指定した場合でも、eGuideを使用して検索できないときは、eGuideへの権利付与に使用したアカウントの権利が不十分だったことが原因と考えられます。
対象となるLDAPシステムにおいてセキュア接続がどのように処理されるかについても、知っておく必要があります。問題となるのは、eGuideアプリケーションとLDAPサービスの間の接続です。LDAPサービスがセキュア接続を使用するように設定されている場合は、eGuideでもセキュア接続を使用するように設定する必要があります。この設定を行うには、eGuideクイックセットアップウィザードで[SSLを有効にする]オプションを選択します。
eDirectory 8.7では、セキュアLDAP接続にTLS(Transport Layer Security)を使用します。TLSは、SSL(Secure Socket Layer)のオープンソースインプリメンテーションです。eDirectoryのLDAPサービスには、TLSに関して2つのオプションがあります。
eDirectory 8.7のデフォルトでは、パスワードを使った単純なバインドにTLSが必要です。この設定を変更するには、LDAPサービスのLDAPグループオブジェクトを編集します。ただしNovellでは、この設定をオンにして、LDAPサービスへのバインドに使用するパスワードを暗号化することをお勧めします。
このオプションを表示または変更するには、iManagerを使用してLDAPサービスのLDAP Serverオブジェクトを編集します。このオプションをオンにすると、LDAPのすべての要求操作と返信操作が暗号化されます。デフォルトでは、このオプションはオフになっています。
TLSオプション1とオプション2のいずれかをオンにした場合、クライアントアプリケーション(この場合はeGuide)は、LDAPサービスへのバインドにTLSを使用します。クライアントアプリケーションがTLSを使用せずにバインドしようとすると、「無効な認証プロキシアクセス情報です。サーバへの認証が行えませんでした。」というエラーメッセージが表示されます。
クイックセットアップウィザードを使用してeGuideを設定するときは、[SSLを有効にする]チェックボックスが表示されます。LDAPサービスでいずれかのTLSオプションを設定した場合は、このチェックボックスをオンにする必要があります。
匿名を使用する場合、単純なLDAPバインドにはパスワードが使用されないので、クイックセットアップウィザードで[SSLを有効にする]チェックボックスをオンにする必要はありません。
TLSはパフォーマンスを大きく低下させます。同じセキュアドメイン内にあるサーバ上でeGuideとeDirectoryの両方を実行している場合は、TLSを無効にした方がパフォーマンスが向上します。