木曜日 5 22, 2008

【TechTipsの紹介】Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモ


こんにちは。
今日は Tech Tips(デモ)を紹介します。 Demo IDMAMDS HowtoOperate - kimimasa - wikis.sun.com ということで、Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモのシナリオ(操作方法)をまとめました。私がよく行なっているIdentity Managerのデモです。
CSV,LDAP,Active Directory はID管理を行なう上での管理対象としてはとても一般的なものになりますので、ほとんどのお客様で3つの連携がIdentity Managerを使って行なわれています。
実際に動くところを見てみたいという方は、Identity Managerのページからお問い合わせ頂ければと思います。
  • 実装していくためにどのようなことを決めなくてはいけないか
  • どのようなことに注意が必要か
  • どういったワークフローのユースケースが一般的か
  • パスワード管理はどのように行なうことが多いか
などのお話もさせて頂けると思います。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.com と、Identity Manager Sales Material - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

金曜日 5 02, 2008

【TechTipsの紹介】sAMAccountName で使っちゃいけない文字


こんにちは。

今日のTech Tipsです。今日も Active Directory 関連ですが、 [XADM] Mbconn.exe ユーティリティに関する問題の回避方法の中で、
samAccountName に使用できない文字が含まれている場合があります。samAccountName に指定可能な文字は 20 文字以内です。スペースは使用できません。また、以下の文字もすべて使用できません。
  • アスタリスク (\*)
  • 等号 (=)
  • 正符号 (+)
  • 角かっこ ([ ])
  • 円記号 (\)
  • 縦線 (|)
  • セミコロン (;)
  • コロン (:)
  • 二重引用符 (")
  • カンマ (,)
  • 山かっこ (< >)
  • ピリオド (.)
  • スラッシュ (/)
  • 疑問符 (?)
[XADM] Mbconn.exe ユーティリティに関する問題の回避方法
という記述があります。
いやー、恥ずかしながらしりませんでした。。。昨日3時間くらいなやんじゃいました。
ほかの人が同じ無駄をしないようにエントリしてみました。ご注意ください。
ちなに、私は sAMAccountName は cn と同じでいいかなっと思ってずーっとスペース入りで書き込みしようとしていました。
kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

木曜日 5 01, 2008

【TechTipsの紹介】Active Directory のリスクアナリシス


こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。 Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査(スキャン)の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント(パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど)をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは??っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。(もちろんLDAP接続をすることも可能ではあります。)

Active Directory上のアカウントを簡単に監査(スキャン)したいというお客様はぜひお試しください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

水曜日 4 30, 2008

【TechTipsの紹介】Identity Managerのインストール


こんにちは。
Tech Tips を紹介します。まったく持ってTipsというには程遠いですが、 Identity Manager Installation - kimimasa - wikis.sun.com ということで、Identity Managerのインストールの仕方をまとめました。今回は、Sun Java System Application Server 9.1 と MySQL 5.0 を使っています。Identity Manager は 7.1 です。
ついでなので、 もまとめておきました。
画面キャプチャがたくさんなのでわかりやすいと思います。 参考になればうれしいです。ご意見ありましたらコメントください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

木曜日 4 17, 2008

【TechTipsの紹介】Access Manager で1人のユーザにセッションの制限を設定する方法


こんにちは。

Tech Tips を紹介します。たいしたものではないですが。。 Access Manager Session Setting - Quota Constraints - kimimasa - wikis.sun.com ということで、「Access Manager で1人のユーザにセッションの制限を設定する方法」をまとめてみました。
最近は、モバイル環境での使用や、不正アクセスの防止という観点で、一人のユーザに対するセッション数を制限したいというご要望も受けることがあります。
Access Manager では、Webの管理コンソールから簡単にこの設定を行なうことができます。
参考になれば幸いです。

kimimasa's wikiAccess Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

火曜日 4 08, 2008

【TechTipsの紹介】PwdLastAuthTimeを記録する?記録しない?(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)


こんにちは。

今日は Tech Tips を紹介します。 PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。

Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、
  • Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
  • Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
  • Directory Server がマルチマスタ構成をとっている。
ような場合です。

で、どういう流れでパフォーマンスに影響がでるかというと、、
  1. OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
  2. そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
  3. その情報がレプリケーションされます。
  4. つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を解説しています。

Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。

kimimasa's wikiDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日