LDAPサーバーの構成
ライセンス: Silver
LDAPサーバーとConnectorを構成すると、企業ディレクトリからユーザーやグループをインポートできます。 少なくとも1つのConnectorをインストールした後に、1つ以上のLDAPサーバーを追加できます。
LDAPサーバーを追加すると、次の項目が構成されることになります。
- LDAPサーバーへの接続
- ターゲットディレクトリのデータを表示するために必要な検索語
- インポートするディレクトリの部分
- ディレクトリの選択した部分に自動的にユーザーを招待するかどうか。
LDAPサーバーの追加後、このページに戻りLDAPサーバー情報の編集または選択したLDAPユーザーの変更を行うことができます。
LDAPユーザーの構成後、LDAPユーザーをインポートする必要があります。 LDAPユーザーのインポートをご覧ください。
LDAPユーザー名は、ローカルユーザー名と同様、グローバルに一意である必要があります。 ユーザーが同じユーザー名でローカルアカウントをすでに持っていないか、または、2件以上のテナントを持つ組織の場合はユーザー名がすでに別のテナントに関連付けれられていないか、確認してください。
LDAPサーバーの追加
手順
- [+サーバーを追加] をクリックします。
- 次の情報を入力します。
-
LDAPサーバーによって管理されている
-
LDAPサーバーをバインドし、ユーザー、グループ、組織単位のサブツリーを検索できる
-
Microsoft Active Directory
-
LDAP を開く
-
その他(OpenLDAP対応)
- [接続をテストして続行] をクリックします。
-
情報が有効であると認められると、サービスはLDAPの命名コンテキストを読み出し、それを使用して次ページのいくつかのフィールドに入力します。
-
LDAP URLに接続できなくても、次の手順に進めます。 ただし、接続が解決されるまで機能が制限される場合があります。
- 残りの設定を完了させます。
- 参照元を使用したい場合は [フォロー] を選択します。
- 別のドメインコントローラを使用しない場合は [無視] を選択します。
- [スロー] も現在のところ [無視] と同じ効果を持ちます。
-
LDAPサーバーが非常に遠方にあるか、待ち時間の長いリンクの先にある場合。 この場合は、検索結果が大きければ、小さな検索結果よりも読み出しに時間がかかるため、小さなセットを定義することで、更新されたデータのサブセットをより迅速に表示できるようになります。
-
LDAPの規模が大きく、毎回の検索で膨大な結果セットが返される場合。 この場合は、パフォーマンスに問題がなければ、より大きな結果セットを定義すると、少ない検索回数ですべてのデータを返すことができるようになります。
- [次へ] をクリックします。
- 次のガイドラインを利用して、LDAPサーバーとの統合を構成します。
-
ベース(検索ベースエントリのみのレベル)
-
ワンレベル(検索ベースの下のレベル)
-
サブツリー(検索ベースDNの下のディレクトリ情報ツリーにあるサブツリー)
-
ベース(検索ベースエントリのみのレベル)
-
ワンレベル(検索ベースの下のレベル)
-
サブツリー(検索ベースDNの下のディレクトリ情報ツリーにあるサブツリー)
- なし
- パターン -
- ユーザーのメールアドレス
- userUPN
- 任意で [「appleid」サブドメインを含める] オプションを選択し、既存のApple IDとの競合を避けます。
-
ベース(検索ベースエントリのみのレベル)
-
ワンレベル(検索ベースの下のレベル)
-
サブツリー(検索ベースDNの下のディレクトリ情報ツリーにあるサブツリー)
- [参照] または [検索] をクリックします。
- 構成により想定されたデータが返されていることを確認します。
- [次へ] をクリックします。
|
設定 |
操作内容 |
|
名前 |
このサーバーを識別する名前を入力します。 |
|
説明 |
このサーバーの目的を明示する説明を入力します。 |
|
ディレクトリURL |
ディレクトリのURLを入力します。 以下のいずれかの形式を使用してください。 ldap://IPアドレス または ldaps://IPアドレス または 例:ldap://myserver1.mycompany.com:389 |
|
ユーザーID |
次の特徴を持つアカウントのユーザーIDを入力します。 これは通常、ディレクトリ管理者の認証情報(DN、つまり識別名、とパスワード)を有するアカウントです。 |
|
パスワード |
アカウントのパスワードを入力します。 |
|
パスワードの確認 |
アカウントのパスワードを再入力します。 |
|
ディレクトリ種類 |
サポートされているディレクトリのリストからディレクトリの種類を選択します。 |
この手順により、ここまで入力した情報が検証されます。
|
設定 |
操作内容 |
|---|---|
|
ディレクトリフェイルオーバーのURL |
セカンダリディレクトリのURLを入力します。 次のフォーマットを使用します。 ldap://IPアドレス または 例:ldap://myserver2.mycompany.com:389 |
|
同期間隔 |
LDAPサーバーからLDAPデータを同期する間隔を入力します。 デフォルト値は15分です。 ターゲットのLDAPデータをすべて正常に同期し終わり、LDAP設定がニーズに合っていることを確認したら、この間隔を増やすことを検討してください。 |
|
リロードされたデータセットが大幅に減少している場合は、LDAP同期データを自動的に破棄するという設定を選択します。 このオプションは、LDAPシステムの部分的な異常動作によってサービスに故障の原因となる不必要なアップデートが発生したり、登録済みのデバイスから構成が削除されるといった状況を防ぐものです。 LDAP設定またはLDAPサーバーに大幅な変更を加える予定がある場合は、このオプションが選択されていないことを確認してください。 |
|
|
このLDAPサーバーを有効化 |
このLDAPサーバーをサービスで使用するという設定を選択します。 このLDAPサーバーを撤去するか、サービス停止にする場合は、この設定を解除します。 セカンドLDAPサーバーに対する構成済みのフェイルオーバーによりこのサーバーが自動的に置き換えられますが、このオプションを利用すると、事前に計画を立て、フェイルオーバー中の短時間の接続不能状態を回避することができます。 |
|
インポートされたユーザーを自動的に招待する |
LDAPサーバーからインポートされたユーザーに自動的に招待状を送る場合に選択します。 |
| CA証明書をアップロード | [ファイルを選択] をクリックし、このLDAPサーバーにインストールされているCA発行のTLS証明書ををアップロードします。CA証明書は複数アップロードできます。 |
|
参照元追跡 |
マルチフォレストのドメインを使用している場合のみ該当します。 このオプションは、要求されたオブジェクトのコピーがターゲットのドメインコントローラにない場合に、別のドメインコントローラを使用するかどうかを示します。 [フォロー] を選択するとLDAP認証が遅くなります。 |
|
検索結果のタイムアウト |
LDAPサーバーから同期したデータの閲覧時にパフォーマンスの問題が発生したり、結果が不完全であったりする場合には、このタイムアウトの値を増やします。 |
|
検索結果数 |
LDAPサーバーから一度に返すべきレコードの最大数を設定します。 パフォーマンス改善のためにこの設定の変更が必要となるようなシナリオは以下のとおりです。 |
|
設定 |
操作内容 |
|
グループメンバー形式 |
[DN] または [UID] を選択し、検索で識別名とユーザーIDのいずれを使うかを示します。 |
|
OU検索属性 |
組織単位レベルでの検索基準を指定します。 |
|
ベースDN |
検索のrootとしたい、あるいはそこから検索を始めたいレベルの識別名を入力します。 この選択により他のフィールドのデフォルト値が決まりますが、それらは必要に応じて変更することができます。 |
|
オブジェクトGUID |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 これは、時間およびOU名の変更を越えて組織単位を一意に識別する属性です。 |
|
属性名 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
説明 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
属性DN |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
フィルタの検索 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
範囲を検索 |
ターゲットに対するLDAPの階層の部分を選択します。 |
|
ユーザー検索属性 |
任意のディレクトリレベルでのユーザー検索のための基準を指定します。 |
|
ベースDN |
検索を始めるレベルの識別名を入力します。 |
|
属性UID |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
オブジェクトGUID |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 これは、時間およびユーザー名の変更を越えてユーザーを一意に識別する属性です。 |
|
属性DN |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
名 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
性 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
表示名 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
Eメールアドレス |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
プリンシパル名 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
ロケール |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
所属メンバー |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
フィルタの検索 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
範囲を検索 |
ターゲットに対するLDAPの階層の部分を選択します。 |
| 管理対象Apple ID |
LDAPユーザーの管理対象Apple IDの同期を選択します。 |
|
(オプション)ディレクトリサービスからデバイス管理に適用したいカスタムユーザー属性を7つまで指定します。 これにより、各属性は、変数をサポートする構成フィールドの${attributeName}によって参照されます。 重要:このオプションを使用するには、LDAPサーバー全体を通じてカスタム属性を一貫して実装しておく必要があります。 実装に含まれるLDAPサーバーの1つがこの属性を使用していない場合、この属性に依存する機能が意図通りに機能しないことがあります。 |
|
|
グループ検索属性 |
|
|
ベースDN |
検索を始めるレベルの識別名を入力します。 |
|
オブジェクトGUID |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 これは、時間およびグループ名の変更を越えてグループを一意に識別する属性です。 |
|
属性DN |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
属性名 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
説明 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
メンバー |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
フィルタの検索 |
必要に応じて、お使いのLDAP環境に合うようデフォルト値を変更します。 |
|
範囲を検索 |
ターゲットに対するLDAPの階層の部分を選択します。 |
ディレクトリ内で既知の項目を参照または検索することにより、これを実行できます。
カスタムLDAP属性の削除
カスタムLDAP属性を削除し、その値を関連ユーザー/デバイスから削除します。
手順
- [管理] > [属性] を開きます。
- [カスタム属性] セクションで、削除したいLDAP属性の隣にある [削除] リンクをクリックします。確認ウィンドウが表示されます。
- [削除] をクリックして削除を確定します。
[削除] ボタンはデフォルトで無効化されています。[カスタム属性の削除が元に戻せないことを理解します。] オプションのチェックボックスを選択し、[削除] ボタンを有効化してください。
LDAPサーバー情報の編集
手順
- [管理] > [LDAP] を開きます。
- LDAPサーバーエントリの [アクション] 列から [編集] アイコンを選択し、[LDAPサーバーに接続] ページを表示させます。
- 必要な変更を施します。
- [接続をテストして続行] をクリックします。
LDAP URLに接続できなくても、次の手順に進んでかまいません。 ただし、接続が解決されるまで機能が制限される場合があります。 - [参照] または [検索] をクリックします。
- 構成により想定されたデータが返されていることを確認します。
ディレクトリ内で既知の項目を参照または検索することにより、これを実行できます。 - [完了] をクリックします。
LDAPユーザーのインポート
手順
- [ユーザー] を開きます。
- [+追加] > [LDAPからユーザーを招待] をクリックします。
- LDAPサーバーエントリ中の [ユーザーを選択] をクリックします。
- [LDAPユーザーを追加] ページで、ユーザー、グループ、OUの名前を検索フィールドを入力します。
- 新規ユーザーやグループを追加するには、追加したいエントリの横にある [+追加] をクリックします。
- [次へ] をクリックします。
- 招待状を送信するかどうかを選択します。
- 誰も招待しない
後で招待を送信するには、[ユーザ] > [ユーザ] へ進み、[アクション] > [招待を送信] を選択して招待を送信します。 - すべて招待
- [完了] をクリックします。
選択したユーザー、グループ、組織単位の更新
手順
- [管理] > [LDAP] を開きます。
- LDAPサーバーエントリの [アクション] カラムから [ユーザーを管理] アイコンを選択し、[LDAPユーザーを追加] ページを表示します。
- 新規ユーザーやグループを追加するには、検索フィールドにユーザー名またはグループ名を入力します。
- 追加したいエントリの横にある [+追加] をクリックします。
- ユーザー、グループ、OUを削除するには、削除したいエントリの横にある削除アイコンをクリックします。
- [完了] をクリックします。
LDAP同期放棄通知の有効化
LDAP同期放棄通知の有効化により、LDAP環境への予期しない大規模な変更による機能停止が防止されます。
手順
- [管理] > [LDAP] を開きます。
- LDAPサーバーエントリの [アクション] 列から [編集] アイコンを選択し、[LDAPサーバーに接続] ページを表示させます。
- [同期放棄を有効化] チェックボックスをオンにします。
- 同期放棄を実行する基準となるリロード済みLDAPデータの割合を入力します。
- [接続をテストして続行] をクリックします。
LDAP URLに接続できなくても、次の手順に進めます。 ただし、接続が解決されるまで機能が制限される場合があります。 - [完了] をクリックします。
- LDAPサーバーエントリ中の [今すぐ同期] アイコンをクリックします。
LDAP から Ivanti Neurons for MDM へ同期される変更が、所定の放棄割合を上回る場合、警告通知が生成されます。 変更が設定した割合を再び下回った場合は、通知が解除されます。
|
送信基準 |
Severity (重大度) |
通知の種類 |
コンポーネントの種類 |
コンポーネント |
|---|---|---|---|---|
| LDAP同期放棄 | 警告 | データ同期 | LDAP | LDAPサーバー名 |
| LDAP同期復元 | 情報 | データ同期 | LDAP | LDAPサーバー名 |
部分的同期放棄は、1つ以上のユーザーレコードがLDAPからの同期に失敗した場合に生成されます。 この場合、同期できなかったユーザーのリストがCSVファイルとして添付されます。 ユーザーが属性の不足によって放棄された場合は、欠けている属性のリストもエクスポートされたCSVファイルに含まれます。
LDAPサーバーからの変更の同期
[LDAP] ページで、LDAPサーバーエントリ中の [今すぐ同期] アイコンをクリックします。
LDAPSサーバーへの接続に関するトラブルシューティング
LDAPS(LDAP over SSL)サーバーへの接続に問題が発生した場合は、証明書に問題がある可能性があります。
問題を解消するには:
- LDAPSサーバー上で自己署名証明書を使用していないことを確認してください。
- LDAPS証明書の有効期限切れ、無効化がないか確認してください。 また、ホスト名の不一致がないか確認してください。
確認後、自動LDAP同期を待つか、LDAPサーバーエントリ中の [管理] > [LDAP] > [今すぐ同期] アイコンを使用して手動で同期します。
[LDAP] ページが表示されない場合、必要な権限を持っていない可能性があります。 以下のいずれかの役割が必要です。
-
システム管理
-
読み取り専用システム