LDAP からのユーザーのインポート

ファイル、AD、および Azure AD からユーザーをインポートするのと同様に、LDAP ディレクトリからユーザーをインポートすることもできます。

必要なステップ

LDAP ディレクトリからユーザーをインポートするには 3 つの手順が必要です。

1. ユーザーのインポート
2. 適切なユーザー役割の指定
3. LDAP認証の有効化

まず、[管理] >> [認証] >> [LDAP]に移動します。[LDAP サーバー構成]ページが表示されます。

ステップ 1 - LDAP からユーザーをインポートする

最初のステップは、必要な認証情報の詳細を提供し、LDAP からユーザーをインポートすることです。そのためには：

1. [LDAP サーバー情報]ページで[今すぐインポート]ボタンをクリックします。あるいは、[ユーザー]>>[LDAP からインポート]ボタンからアクセスすることもできます。
2. 表示されるポップアップ フォームに、必要に応じて詳細を入力します。
   
3. LDAP サーバーと Password Manager Pro の間の接続を、暗号化チャネル (SSL) または非 SSL 経由で構成します。

[前のステップで SSL を選択した場合にのみ適用されるステップ] SSL モードを有効にするには、LDAP サーバーがポート 636 で SSL を介してサービスを提供する必要があります。また、LDAP サーバーのルート証明書、LDAP サーバーの証明書、およびそれぞれのルート証明書チェーンに存在するその他すべての証明書を、Password Manager Pro のサーバー マシンの証明書ストアにインポートする必要があります。

証明書をインポートするには、コマンド プロンプトを開いて [<PMP_SERVER_HOME>\bin]ディレクトリに移動し、次のコマンドを実行します。

Windowsの場合:

importCert.bat <証明書の絶対パス>

Linuxの場合:

importCert.sh <証明書の絶対パス>

Password Manager Proサーバーを再起動します。その後、次の手順に進みます。

4. LDAPプロバイダのURLを、[attribute://ldap server host:port]の形式で入力します(例: ldap://192.168.4.83 <:389/)
5. 認証のために LDAP にすでに存在するユーザーのいずれかの資格情報を入力します。これは、アプリケーションの認証時にユーザーがユーザー名を送信したときの形式である必要があります。たとえば、一般的なエントリは、cn=Eric,cn=Users,o=adventnet,c=com のようになります。
6. ユーザーのパスワードを入力します。
7. これは、ディレクトリ検索が行われる[ベース]または[ルート]です。LDAP ベース (LDAP ディレクトリ ツリーの最上位) を入力します。LDAP で使用されている形式で正確に入力してください。カンマまたは等号[=]と大文字と小文字が区別されるエントリの間にスペースを入れることはできません。
8. LDAP ディレクトリから特定のユーザーのみを追加する場合は、適切な検索フィルターを使用して検索を実行します。たとえば、カテゴリ[Managers]に属するユーザーのみを追加する場合、一般的な検索フィルタは次のようになります: ou=Managers,ou=Groups,o=adventnet,c=com。
9. グループ名を入力します。LDAP からユーザーをインポートする際、Password Manager Pro はインポートされたすべてのユーザーを含むユーザー グループを自動的に作成します。同期を有効にすると、ユーザー グループは作成した検索フィルターに基づいて同期されます。
10. LDAPサーバーの種類を選択します
    • Microsoft Active Directory (または)
    • Novell eDirectory (または)
    • OpenLDAP (または)
    • その他
11. LDAP サーバーが [Microsoft Active Directory/Novell eDirectory/OpenLDAP] の種類に属している場合は、その種類を選択して[保存]をクリックします。

LDAP サーバーが [Microsoft Active Directory/Novell eDirectory/OpenLDAP] 以外の種類に属している場合は、ユーザーを認証するために次の追加の詳細を指定します。

1. [ログイン属性]のテキストフィールドに、LDAP 構造のユーザーログイン属性を入力します。たとえば、AD を使用する LDAP の場合、エントリは[sAMAccountName]となり、OpenLDAP の場合、エントリは[uid]になります。他の LDAP を使用している場合は、LDAP 構造に従ってこのエントリを作成します。
2. [メール属性]のテキストフィールドに、LDAP 構造内のユーザーの電子メール属性を入力します。たとえば、AD を使用する LDAP の場合、エントリは[mail]になります。他の LDAP を使用している場合は、LDAP 構造に従ってこのエントリを作成します。
3. 識別名属性を入力します。これは、このオブジェクトを一意に定義する LDAP 属性です。たとえば、AD を使用する LDAP の場合、エントリは[distinguishedName]となり、OpenLDAP の場合、エントリは[dn]になります。他の LDAP を使用している場合は、LDAP 構造に従ってこのエントリを作成します。
4. [インポート]をクリックします。この[保存]ボタンを押すとすぐに、Password Manager Pro は LDAP からすべてのユーザーの追加を開始します。後続のインポート中に、LDAP の新しいユーザー エントリのみがローカル データベースに追加されます。インポート中に、すべてのユーザーに自分のアカウントに関する通知と、LDAP 認証が無効になっているときに Password Manager Pro へのログインに使用されるパスワードが電子メールで通知されます。

同期の構成と LDAP サーバーの詳細の管理

新しいユーザーが LDAP に追加されるたびに、そのユーザーを自動的に Password Manager Pro に追加し、ユーザーデータベースの同期を保つ機能が用意されています。これは、[LDAP サーバーの情報]ページから行うことができます。UI のステップ 1 にある [LDAP サーバーの情報] ボタンをクリックします。この UI は、Password Manager Pro と連携された LDAP サーバーに関連するすべての設定をワンストップで管理できるように設計されています。

1. [LDAP サーバーの情報]UI では、すでに連携されている LDAP サーバーのリストの表示、新しい LDAP サーバーの連携、既存の LDAP サーバーの削除、エントリの編集、LDAP サーバーに関連するエントリの管理を行うことができます。
2. また、このページの[アクション]セクションから、
   • 既存の LDAP サーバーの詳細を編集できます。
   • ユーザーデータベースの同期を設定できます。ユーザー データベースの同期を保つために、Password Manager Pro が LDAP サーバーにクエリを実行する必要がある時間間隔を入力します。時間間隔は1分程度に短くすることも、数時間や数日の範囲にすることもできます。
   • LDAP からユーザーをインポートすることもできます。

ステップ 2 - 適切なユーザー役割の指定

LDAP からインポートされたすべてのユーザーには、デフォルトで[パスワード ユーザー]役割が割り当てられます。特定のユーザーに特定の役割を割り当てるには、

1. UI のステップ 2 ([管理] >> [認証] >> [LDAP]) に進み、[今すぐ役割を設定] ボタンをクリックします。
2. 開いたポップアップ フォームに、AD からインポートされたすべてのユーザーがリストされます。
3. 役割を変更したいユーザーの[役割の変更]ボタンをクリックし、ドロップダウンから適切な役割を選択します。
4. [保存]をクリックすると、ユーザーに必要な役割が設定されます。
   

ステップ 3 - LDAP 認証の有効化

最後のステップは、LDAP 認証を有効にすることです。これにより、ユーザーは LDAP ディレクトリのパスワードを使用して Password Manager Pro にログインできるようになります。この方式は、ADからローカルデータベースにすでにインポートされているユーザーに対してのみ機能します。