10.4. 拡張例: memberOf および LDAP 設定
設定
認証 は、他のユーザーの ID を検証するプロセスです。承認 とは、アイデンティティーが持つアクセス権限を決定するプロセスです。ユーザーは、ロールの割り当てに付与されたパーミッションに基づいてタスクを実行することが許可されます。
Example Co. のユーザーおよびアイデンティティーはすべて、バックエンド Red Hat Directory Server LDAP データベースに保存されます。単一の中央ユーザーストアを維持するには、Tim(IT 管理者)は JBoss ON の既存の LDAP ユーザーを使用し、グループメンバーシップに基づいて JBoss ON へのユーザーアクセスを決定したいため、基本的には認証ルールと承認ルールの両方が LDAP 設定によって決定されます。
The Plan
認証用にユーザーを特定する方法と、承認のためにユーザーを整理する方法の 2 つの設定があります。
グループは、JBoss ON for Example Co の LDAP 設定を管理する際に、2 段階の役割を果たします。
- LDAP ディレクトリーで JBoss ON ユーザーを識別する単一グループ
- JBoss ON へのアクセスレベルを決定するために使用される既存の LDAP グループが複数になる
最初に、Tim the IT Guy が判断したものが、ユーザーを識別する方法です。前述 「LDAP ユーザー認証の設定」 のように、JBoss ON は検索ベースおよびオプションの検索フィルターを使用する LDAP 検索の結果に基づいてユーザーを識別します。検索フィルターは、attribute=value のペアを指定します。ユーザーを特定するのに推奨される方法の 1 つは、カスタムのスキーマ要素を作成することです。これにより JONUser、一致するユーザーの検索が容易になります。
ただし、Tim(IT 管理者)は、Red Hat Directory Server データベースへの管理アクセスを限定しています。グループを作成し、メンバーシップを管理する機能がありますが、スキーマを編集することはできません。JBoss ON ユーザーにフラグを付ける属性を作成する方法がない場合は、Tim(IT 管理者)は他の設定を使用する必要があります。ディレクトリーのレイアウトによっては、ビュー、マネージャー、サービスのクラス(CoS)仮想属性、またはグループメンバーシップなどの他の設定を使用できます。
グループメンバーシップを使用すると、(個別のグループエントリーではなく)1 つのエントリーのみを管理するだけで、ユーザー割り当てを簡単かつ動的に管理できます。Directory Server では、
memberOf 属性が自動的にユーザーエントリーに追加され、ユーザーが属するグループを示します。
Tim the IT Guy の機能は、すべての JBoss ON ユーザーと、希望するユーザーに対して特別なグループを設定することです。Directory Server は、メンバーが追加および削除される際に、ユーザーエントリーに
memberOf 属性を自動的に追加/削除します。Tim(IT 管理者)は、認証用の検索フィルターとして、そのユーザーアカウントの memberOf 属性のみを使用する必要があります。
dn: uid=jsmith,ou=people,dc=example,dc=com uid: jsmith cn: John Smith ... memberOf: cn=JON User Group,ou=groups,dc=example,dc=com memberOf: cn=IT Administrators,ou=groups,dc=example,dc=com
JBoss ON LDAP 認証検索フィルターは、その特定の JBoss ON グループの
memberOf 属性をターゲットとします。
memberOf='cn=JON User Group,ou=groups,dc=example,dc=com'
グループをアクセス制御に使用するには、JBoss ON 固有のグループ定義を全く異なるグループ定義が必要です。これらのグループは Example Co. 内の機能エリアと関連し、Tim(IT 管理者)は既存の LDAP グループを JBoss ON ロールにマッピングできます。JBoss ON を管理するために、Example Co. には 3 つの関連する LDAP グループがあります。
- Administrators Group は、インベントリーパーミッションの管理でロールにマップされます。
- Manager Group は、すべてのリソースおよび view ユーザーのパーミッションで表示(書き込みがない)パーミッションを持つロールにマップされます。
- Business Manager Group は、すべてのリソース設定、バンドル、ドリフト、測定、操作、およびアラートを読み取るパーミッションを持つロールにマップされますが、書き込み権限はありません。
結果
Tim(IT 管理者)は、JBoss ON のすべての認証とユーザーを設定するために、1 つの LDAP グループである JON Users グループのみを作成して管理する必要があります。LDAP スキーマを変更したり、ユーザーエントリーを直接変更したりする必要がありません。
承認のために、Tim(Timum)は、LDAP ディレクトリーにすでに定義されている機能グループ(例: Co. の組織、IT 管理者、IT マネージャー、およびビジネスマネージャーおよびアクセスレベル)で JBoss ON ロールを設計します。
JBoss ON UI への LDAP ユーザー認証を初めて使用すると、独自の JBoss ON ユーザーの詳細を設定します。認証後、LDAP グループメンバーシップに基づいて適切なアクセスレベルが自動的に付与されます。
