認証の管理

ユーザ管理ツールを使用して、コンソール アクセス権を持つ Active Directory グループの認証資格情報を定義します。これらの認証資格情報は、エンドポイント マネージャ でディレクトリを列挙するためにのみ必要です。コンソール アクセスが必要なユーザを含む 各 Active Directory の認証資格情報を指定する必要があります。指定した認証によって、コンソール グループ アクセス権を割り当てるときに選択できるユーザ グループが決まります。

コンソール認証は、Windows ローカルまたは Active Directory グループ メンバーシップに基づいています。Ivanti 管理者がローカルまたは Active Directory グループにグループ アクセス権を割り当てると、グループに属しているユーザは、Windows または Web コンソールにログインして、グループに割り当てられたアクセス権を共有できます。

エンドポイント マネージャで使用するために Active Directory を管理する場合、次の問題に注意してください。

  • Active Directory は DNS に完全に統合され、TCP/IP (DNS) が必要です。正常に稼動させるには、DNS サーバは SRV リソース レコードまたはサービス レコードに対応していなければなりません。

  • 現在コンソールで使用されているグループに Active Directory でユーザを追加した場合、そのユーザに エンドポイント マネージャ アクセス権が割り当てられていてもコンソールへのログインが有効になるわけではありません。コンソールにログインするには、ユーザはコア サーバのローカル LANDESK グループに属していなければなりません。詳細については、「エンドポイント マネージャ コンソール ユーザの追加」をご参照ください。

  • Active Directory が役割ベース管理で正常に機能するためには、コア サーバ上で COM+ サーバの資格情報を設定する必要があります。これにより、管理者アカウントなど Windows ドメイン メンバーの指定に必要なアクセス権を持つコア サーバのローカル LANDESK グループ内のアカウントを、コア サーバが使用できるようになります。設定を行う方法については、「COM+ サーバの資格情報の設定」をご参照ください。

認証用のアカウント パスワードが変更された場合、コンソールにログインして、認証ダイアログ ボックスのパスワードを新しいパスワードに変更する必要があります。ローカル グループとしてログインすることで、この操作を実行できます。ログイン時にユーザが認証されるため、既存のすべてのセッションは動作し続けます。パスワードを変更したドメインのユーザは、パスワード変更がユーザ ツールで修正されるまでログインできません。

RBA で Active Directory を使用する場合には、次の規則が適用されます。

  • ユーザが Active Directory グループのメンバーである場合、そのグループの RBA 権限を継承します。
  • ユーザが上位のグループに属する Active Directory グループのメンバーである場合、ユーザは上位のグループの RBA 権限を継承します。
  • 通常の Active Directory 規則に基づいて、グループをネストし、適切な権限を継承するようにできます。
認証を追加するには
  1. ユーザ管理ツール ([ツール] > [管理] > [ユーザ管理]) で [ユーザとグループ] を右クリックしてから、[新規 Active Directory ソース] をクリックします。
  2. [Active Directory ソース] ダイアログ ボックスで、Active Directory へのアクセスを可能にする認証資格情報を入力します。
  3. [OK] をクリックします。

ディレクトリ クエリ頻度の調整

Resolveusergroups.exe ユーティリティは定期的 (20 分ごと) に実行され、Ivanti® Endpoint Manager コンソール ユーザのリストを更新します。

解決されたユーザ リストはキャッシュに保存され、Resolveusergroups.exe が次に実行されるまで使用されます。Active Directory 環境によっては、TTL 値が小さすぎる場合、すべてのアカウントが解決される前に、解決されたユーザ アカウントの一部が TTL しきい値を超える場合があります。これは、キャッシュが何度も更新され、コンソールの読み込みが非常に遅いことが原因です。

この状況が発生する場合は、Resolveusergroups.exe の既定の TTL 設定を変更してください。Resolveusergroups.exe /? を実行すると、使用方法に関するヘルプが表示されます。TTL 値は秒単位で指定します。次に、TTL 値を最大値に設定する例を示します。

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

TTL 値を変更した場合、すべてデータベース (GroupResolutionTTL and LocalLDGroupResolutionTTL) の KeyValue テーブルに書き込まれ、永続的に使用されます。