水曜日 7 30, 2008

【オンライン・セミナーの紹介】 Sun VDI Software - サンの仮想化デスクトップ・ソリューション

こんにちは。

週末は、それいけ!アンパンマン シャボン玉のプルンドラえもん のび太の恐竜 2006崖の上のポニョ と日本が誇るアニメ三昧でした。
ピュアな気持ちになりました。

さて、オンラインセミナーを紹介します。 ということで、Sun VDIのオンラインセミナーです。全部で5分くらいです。白川さんのわかりやすい説明をお聞きください。
VDIを使って社内の Windows XP に接続するようになると、XPの認証に使う、Active Directory に求められるセキュリティ要件や監査要件も高くなってくると思います。
だって今までは社内からしかアクセスされなかったものが、今後はインターネット越しにもアクセスできるわけですから。もちろん情報漏えいに関しては、VDIに任せておけばOKです。でも Active Directory 上のID管理や監査はできません。いくら強固な扉を容易しても、その扉を開ける鍵の管理をしっかりしないと意味がないのと同じです。なので、 で紹介したようなActive Directory 上のIDを監査したりチェックしたりする仕組みが必要になってくるのだと思います。
_kimimasa

火曜日 5 27, 2008

【TechTipsの紹介】Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモ(Active Directory連携を強化)


こんにちは。
今日は Tech Tips(デモ)を紹介します。 Demo IDMAMDSAD HowtoOperate 20080521 - kimimasa - wikis.sun.com ということで、以前紹介したIdentity Manager/Access Manager/Directory Server/Active Directory を連携したデモのシナリオ(操作方法) に、Active Directoryとの連携に関するシナリオを追加しました。 これも、Identity Managerの定番デモにしようかなと思っています。
Active Directoryをご使用になられているお客様は多く、またIdentity Managerも非常に多くのお客様に導入されているため、Active DirectoryとIdentity Managerの柔軟な連携はお客様からの要望が多い機能の一つです。
今回、その連携部分のデモを追加しました。
実際に動くところを見てみたいという方は、Identity Managerのページからお問い合わせ頂ければと思います。
  • 具体的に、Active DirectoryとIdentity Managerの連携はどのように行なうことがおおいのか
  • Identity Managerで管理することでどのようなメリットがあるのか
  • パスワード管理はどのように行なうことが多いのか
などのお話もさせて頂けると思います。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.com と、Identity Manager Sales Material - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

木曜日 5 22, 2008

【TechTipsの紹介】Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモ


こんにちは。
今日は Tech Tips(デモ)を紹介します。 Demo IDMAMDS HowtoOperate - kimimasa - wikis.sun.com ということで、Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモのシナリオ(操作方法)をまとめました。私がよく行なっているIdentity Managerのデモです。
CSV,LDAP,Active Directory はID管理を行なう上での管理対象としてはとても一般的なものになりますので、ほとんどのお客様で3つの連携がIdentity Managerを使って行なわれています。
実際に動くところを見てみたいという方は、Identity Managerのページからお問い合わせ頂ければと思います。
  • 実装していくためにどのようなことを決めなくてはいけないか
  • どのようなことに注意が必要か
  • どういったワークフローのユースケースが一般的か
  • パスワード管理はどのように行なうことが多いか
などのお話もさせて頂けると思います。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.com と、Identity Manager Sales Material - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

木曜日 5 15, 2008

【BigAdmin記事の紹介】Using Kerberos to Authenticate a Solaris 10 OS LDAP Client With Microsoft Active Directory


こんにちは。
ちょっと空いてしまいましたかね。
ここ2,3日久々に深夜まで仕事してたりしてちょっと忙しかったもんで。。。 Blog の場合は、wikiと違って30分くらいは時間取られたりするのでついサボってしまったりします。。。

さて、今日はBigAdminの記事を紹介します。BigAdmin Feature Article: Using Kerberos to Authenticate a Solaris 10 OS LDAP Client With Microsoft Active Directoryってことで、Solaris の認証をActive Directoryでできるようにする方法を解説しています。

Contents : コンテンツ

  • Introduction:イントロダクション
  • Installing Identity Management for UNIX :Identity Management for UNIX のインストール
  • Provisioning a UNIX User in Active Directory : UNIXユーザをActive Directory上に作成
  • Configuring DNS : DNS の設定
  • Synchronizing the Clocks and Configuring Time Zones : 時計とタイムゾーンを同期させる
  • Tuning Active Directory : Active Directoryのチューニング
  • Configuring Kerberos : Kerberos の設定
  • Initializing the Solaris LDAP Client : SolarisのLDAP Clientの初期化
  • Using the Naming Service Switch and Pluggable Authentication Modules (PAM) : ネームサービススイッチとPAMを使う
  • Testing the Client : クライアントをテストする
  • Testing Password Management : パスワード管理をテストする
  • Troubleshooting : トラブルシューティング
  • For More Information : もっと情報
  • Change Log : 更新履歴
BigAdmin Feature Article: Using Kerberos to Authenticate a Solaris 10 OS LDAP Client With Microsoft Active Directory
というような内容になっています。 実際は PDF 25ページの資料です。以下からどうぞ。
これは結構すごいのでは。。Solaris がADで認証できてしまうんですから。
資料中にも情報ありますが、
Winchester: Schema mapping and ID mapping for AD Interoperability at OpenSolaris.org
の成果みたいですねー。

誤解のないように言っておきますと、Directory ServerでももちろんSolarisの認証はできます。しかも、Directory Serverの機能強化によってよりセキュアにかつ効果的にSolarisの認証に使用できるようになっています。 を参照してください。

OpenSolaris関連のリンクも紹介しておきます。
ではまた。
_kimimasa

金曜日 5 02, 2008

【TechTipsの紹介】sAMAccountName で使っちゃいけない文字


こんにちは。

今日のTech Tipsです。今日も Active Directory 関連ですが、 [XADM] Mbconn.exe ユーティリティに関する問題の回避方法の中で、
samAccountName に使用できない文字が含まれている場合があります。samAccountName に指定可能な文字は 20 文字以内です。スペースは使用できません。また、以下の文字もすべて使用できません。
  • アスタリスク (\*)
  • 等号 (=)
  • 正符号 (+)
  • 角かっこ ([ ])
  • 円記号 (\)
  • 縦線 (|)
  • セミコロン (;)
  • コロン (:)
  • 二重引用符 (")
  • カンマ (,)
  • 山かっこ (< >)
  • ピリオド (.)
  • スラッシュ (/)
  • 疑問符 (?)
[XADM] Mbconn.exe ユーティリティに関する問題の回避方法
という記述があります。
いやー、恥ずかしながらしりませんでした。。。昨日3時間くらいなやんじゃいました。
ほかの人が同じ無駄をしないようにエントリしてみました。ご注意ください。
ちなに、私は sAMAccountName は cn と同じでいいかなっと思ってずーっとスペース入りで書き込みしようとしていました。
kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

木曜日 5 01, 2008

【TechTipsの紹介】Active Directory のリスクアナリシス


こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。 Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査(スキャン)の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント(パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど)をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは??っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。(もちろんLDAP接続をすることも可能ではあります。)

Active Directory上のアカウントを簡単に監査(スキャン)したいというお客様はぜひお試しください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

火曜日 9 04, 2007

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。

こんにちは。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Active Directoryと連携できればよいのですが、Active Directoryやっておいたほうがいいこと(Identity Managerの接続用ユーザを作成する。)がありますので説明します。

ぶっちゃけ administrator を使ってしまえば、Identity Managerの接続用にユーザを作る必要はありません。しかし、現実としては、administratorを本番で使用するのは権限が大きすぎるのでお勧めできません。検証環境であっても、別途Identity Managerが接続するためのユーザを作成するほうがお勧めです。Identity Manager専用のユーザにしておけば(ほかのアプリや、開発者が使わないようにしておけば)例えば、割り当てるグループをいろいろ変えて、やりたいことに必要最低限の権限を設定していくことなどができます。あるお客様では、AD側に書き込みをしてほしくないので、読み込み権限だけを付与しているといったケースもあります。また、Identity Manager専用なので、だれかにパスワードを変えられて接続できなくなってしまうといったケースも避けられます。

当然マニュアルにもActive Directoryと接続するために何が必要かは記述されています。しかし最近お客様やパートナー様から、「とりあえずつなげて検証するときにAD側でどういった準備をしておけばいいの?」と問い合わせをうけることも多くなってきたのでここで説明しておきます。
Active Directory はIdentity Managerとの連携が一番多い(実績的にも、お客様の要望的にも)リソースの1つなので問い合わせも多いです。
  1. 前提:Active Directory は既にインストールされている。
  2. まず、プログラム -> 管理ツール -> Active Directory ユーザとコンピュータを開きます。
  3. Users オブジェクト下にユーザを作成します。

    今回は idmadm というユーザを作成してみます。
    パスワードの有効期限がきて接続できなくならないように、パスワードは無期限にする を選択しておきます。
    また、ユーザは次回ログオン時にパスワード変更が必要 のチャックもはずしておきます。

    できました。
  4. これだけでは権限がないので、グループを割りたてます。(今回は administratorsに所属させます。
    まずは idmadmのプロパティ画面を開きます。

    追加を押下します。

    詳細設定を押下します。

    検索ボックスにadmin と入力して、今すぐ検索を押下します。Adminisrators が表示されるので、OKを押下して追加します。

    OKを押下します。

    ユーザが Administratorsグループに追加されました。OKを押下します。

    これで Active Directory 側の作業は終了です。
  5. ついでなんで、Identity Manager側でもリソースの設定の説明もしておきます。(画面キャプチャの嵐です)
    まずは、ActiveDirectoryリソースが管理されるリソースとして設定されているか確認しましょう。私の環境では既に設定されています。
    新規リソースを追加して行きます。

    Windows Active Directoryを選択します。

    各種設定値を入力していきます。
    • ホスト 接続先サーバ(gatewayをインストールしたサーバ)のIPアドレスまたホスト名を入力します。
    • TCPポート gateway はデフォルトで9278ポートを使用します。ここはそのままでオッケーです。
    • ユーザ デフォルトでは、administrator と表示されていますが、今回は作成したユーザ idmadm を入力します。
    • パスワード idmadmのパスワードを入力します。
    • オブジェクトクラス そのままでオッケーです。
    • コンテナ ユーザコンテナを設定します。今回はcn=users,dc=example,dc=comを入力します。
    ほかの部分に関してはまずは変更の必要はありません。
    設定のテストを押下すると、入力した設定値を元にAective Directory へテスト接続を行います。
    接続に問題がなければ、次のリソースのテスト接続が成功しました というメッセージが表示されます。
    設定値に問題が無いことを確認して 次へ を押下します。

    ADとIdentity Managerの属性値のマッピング情報を設定する画面です。ここではデフォルトのままで 次へ を押下します。

    ユーザ作成時のDNの情報を設定する画面です。デフォルトでは、mydomain となっている部分を exampleに変更して、次へ を押下します。

    Active Directoryが停止していた場合の処理などを設定していく画面です。ここではデフォルトのままで 保存 を押下します。

    これで、Active Directory との連携準備が整いました。
    画面の量は多いですが(かなり細かくとりました。)実際には、10分もあれば十分終わってしまう作業です。(私は画面とりながらだったので、30分以上かかりました。。。)
    参考にしていただければと思います。
    参考マニュアル : Sun Java System Identity Manager 7.1 リソースリファレンス >> Active Directory
    _kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日