9.3 eDirectoryの設定

9.3.1 eDirectoryでのインデックスの作成

ユーザアプリケーションのパフォーマンスを向上させるには、eDirectory管理者は、マネージャ、ismanager、およびsrvprvUUIDの属性に対してインデックスを作成する必要があります。これらの属性にインデックスがない場合、ユーザアプリケーションのユーザは、特にクラスタ化された環境では低いパフォーマンスの状態にあります。

これらのインデックスは、[ユーザアプリケーション環境設定]パネルの[詳細]タブの[eDirectoryインデックスの作成]が選択されている場合、インストール中に自動的に作成できます(表 A-2で説明されています)。インデックスを作成するためにインデックスマネージャを使用する手順については、『Novell eDirectory管理ガイドhttp://www.novell.com/documentation』を参照してください。

9.3.2 SAML認証メソッドのインストールおよび環境設定

この環境設定は、SAML認証メソッドを使用し、アクセスマネージャを使用しない場合にのみ必要となります。アクセスマネージャを使用する場合、eDirectoryツリーには、すでにそのメソッドが含まれています。その手順は次のとおりです。

  • eDirectoryツリーにSAMLメソッドをインストールします。

  • iManagerを使用したeDirectoryの属性の編集。

eDirectoryツリーにおけるSAMLメソッドのインストール

  1. nmassaml.zipファイルを探して解凍します。

  2. SAMLメソッドをeDirectoryツリーにインストールします。

    1. authsaml.schに保存されたスキーマの拡張

      次の例で、Linux上でこれを実行する方法を説明します。

      ndssch -h <edir_ip> <edir_admin> authsaml.sch
      
    2. SAMLメソッドをインストールします。

      次の例で、Linux上でこれを実行する方法を説明します。

      nmasinst   -addmethod <edir_admin> <tree> ./config.txt 
      

eDirectoryの属性の編集

  1. iManagerを開き、[役割とタスク]>[ディレクトリ管理]>[オブジェクトの作成]の順に進みます。

  2. [すべてのオブジェクトクラスの表示]を選択します。

  3. クラスがauthsamlAffiliateである新規のオブジェクトを作成します。

  4. authsamlAffiliate]を選択して、[OK]をクリックします(有効な名前であればこのオブジェクトにどんな名前でも付けられます。)

  5. コンテキストを指定するには、ツリーで[SAML Assertion.Authorized Login Methods.Security]コンテナオブジェクトを選択して、[OK]をクリックします。

  6. 属性をクラスオブジェクトauthsamlAffiliateに追加する必要があります。

    1. iManagerの[オブジェクトの表示]>[ブラウズ]タブに進み、SAML Assertion.Authorized Login Methods.Securityコンテナで新しい連携オブジェクトを見つけます。

    2. 新しい連携オブジェクトを選択して、[オブジェクトの修正]を選択します。

    3. 属性authsamlProviderIDを新しい連携オブジェクトに追加します。この属性を使用して、アサーションを連携と一致させます。この属性のコンテンツは、SAMLアサーションで送られたIssuerの属性と完全に一致している必要があります。

    4. [OK]をクリックします。

    5. 属性authsamlValidBeforeおよびauthsamlValidAfterを連携オブジェクトに追加します。これらの属性は、アサーションが有効とみなされると、アサーションのIssueInstantに基づいて時間を秒で定義します。一般的なデフォルトは180秒です。

    6. [OK]をクリックします。

  7. セキュリティコンテナを選択して、[オブジェクトの作成]を選択し、セキュリティコンテナでトラステッドルートコンテナを作成します。

  8. トラステッドルートコンテナにトラステッドルートオブジェクトを作成します。

    1. [役割とタスク]>[ディレクトリ管理]に戻り、[オブジェクトの作成]を選択します。

    2. [すべてのオブジェクトクラスの表示]を再び選択します。

    3. 連携がアサーションを署名するために使用する証明書用のトラステッドルートオブジェクトを作成します。これを行うには、証明書のderエンコードしたコピーを持っている必要があります。

    4. ルートCA証明書につながれた署名証明書で、各証明書に対し新規のトラステッドルートオブジェクトを作成します。

    5. 以前作成された[トラステッドルートコンテナへのコンテキスト]を設定して、[OK]をクリックします。

  9. オブジェクトビューアに戻ります。

  10. authsamlTrustedCertDN属性を連携オブジェクトに追加し、[OK]をクリックします。

    この属性は、前のステップで作成した署名証明書に対し、「トラステッドルートオブジェクト」を指し示す必要があります。(連携のアサーションはすべて、この属性によって示される証明書で署名されている必要があります。署名がない場合は拒否されます。)

  11. authsamlCertContainerDN属性を連携オブジェクトに追加し、[OK]をクリックします。

    この属性は、以前作成した「トラステッドルートコンテナ」を指し示す必要があります。(この属性を使用して、署名証明書の証明書チェーンを確認します。)