NetIQ eDirectoryでは、ネットワークリソースを容易に、強力に、そしてフレキシブルに管理することができます。eDirectoryは、グループウェアやその他アプリケーションのユーザ情報のリポジトリとしても機能します。これらのアプリケーションは、業界標準のLDAP(Lightweight Directory Access Protocol)を使用して、ディレクトリにアクセスします。
eDirectoryの便利な管理機能には、強力なツリー構造、統合管理ユーティリティ、およびシングルログインと認証機能があります。
NetIQ iManagerを使用して、Webブラウザやさまざまなハンドヘルドデバイスから、ディレクトリやユーザ、ディレクトリ内のアクセス権やネットワークリソースを管理できます。iManagerのeDirectoryプラグインを使用すると、基本的なディレクトリ管理タスクにアクセスしたり、DSRepair、DSMerge、バックアップおよび復元など、以前はeDirectoryサーバで実行する必要のあったeDirectory管理ユーティリティにアクセスしたりできます。
詳細については、『NetIQ iManager Administration Guide』を参照してください。
NetIQ eDirectoryではオブジェクトがツリー構造に編成されます。最上位のTreeオブジェクトにはツリー名が付けられます。
eDirectoryサーバで動作するオペレーティングシステムがLinux、Windowsのどちらであっても、すべてのリソースを同じツリー内に保管できます。オブジェクトの作成や、権利の許可、パスワードの変更、アプリケーションの管理のために、それぞれのサーバやドメインに個別にアクセスする必要はありません。
ツリーの階層構造によって、極めて柔軟で強力な管理が可能になっています。このような管理機能は、主に次の2つの機能で実現できます。
コンテナオブジェクトを利用することによって、オブジェクトを個々に扱うのではなく、オブジェクトのまとまりとして扱うことができます。に示すように、コンテナオブジェクトには、3つの共通クラスがあります。図 1-2
図 1-2 コンテナオブジェクトの共通クラス
Treeオブジェクトは、ツリー内の最上位のコンテナオブジェクトです。通常、このコンテナには、その会社の組織オブジェクトが格納されます。
組織は通常、Treeオブジェクトの直下に位置するコンテナクラスです。一般に、組織オブジェクトには会社名に基づく名前が付けられます。小規模な会社の場合は、管理を容易化するために、他のオブジェクトをすべて組織オブジェクトの直下に配置します。
組織の下に部門オブジェクトを作成し、異なった地区、ネットワークキャンパス、または個々の部署を表すことができます。部門の下にさらに部門を作成して、ツリーを細分化することもできます。
その他、コンテナオブジェクトには、カントリクラスと地域クラスがあります。これらのクラスは通常、複数の国にまたがるネットワークでのみ使用されます。
ドメインオブジェクトは、Treeオブジェクトの下、または組織、部門、カントリ、地域オブジェクトの下に作成できます。
コンテナ内のすべてのオブジェクトに対してなんらかの処理を行う場合、コンテナオブジェクトに処理を行えば1回の実行で済みます。Accountingコンテナ(Databaseアプリケーション、Bookkeepersグループ、LaserPrinterプリンタ、およびAmy、Bill、Bobというユーザが含まれている)内の全オブジェクトに対する完全な管理権限をユーザAmyに与える必要があるとします。
これを行うには、iManagerの[オブジェクトの表示]タブに移動し、左側のペインでAccountingオブジェクトの親ツリーを選択します。右側のペインで[Accounting]を選択して、[アクション]>[トラスティの変更]をクリックします。[トラスティの追加]をクリックして、Amyをトラスティとして追加します。次に、[割り当てられた権利]をクリックして、Amyに与える権利を選択します。これでAmyには、Databaseアプリケーション、Bookkeepersグループ、LaserPrinterプリンタ、および自分自身とユーザBill、Bobを管理する権利が与えられました。
eDirectoryのもう1つの強力な機能は、権利の継承です。継承とは、ツリー内の上位層のコンテナの権利が、それぞれの下位層のすべてのコンテナに受け継がれることを意味します。この機能によって、権利の割り当て回数を少なくすることができます。たとえば、図 1-3に示すオブジェクトに対する管理権を与えるとします。
図 1-3 eDirectoryオブジェクトの例
次の割り当てのいずれかを行うことができます。
ユーザにAllentownに対する権利を与えると、そのユーザはAllentownコンテナ内のオブジェクトのみ管理できます。
ユーザにEastに対する権利を与えると、そのユーザはEast、Allentown、およびYorktownコンテナ内のオブジェクトを管理できます。
ユーザにYourCoに対する権利を与えると、そのユーザは図中のすべてのコンテナのすべてのオブジェクトを管理できます。
権利の割り当ての詳細については、セクション 1.9, eDirectoryでの権利を参照してください。
iManagerはブラウザベースのツールで、eDirectoryオブジェクトを運用、管理、設定するために使用します。iManagerでは、ユーザに特定のタスクや責任を割り当て、それらのタスクを実行するために必要なツール(およびそれに伴う権利)だけをユーザに付与することができます。
iManagerを実行するには、Microsoft Internet Explorer 6.0 SP1以降(推奨)、Mozilla 1.7以降、またはMozilla Firefox 0.9.2以降がインストールされているワークステーションが必要です。
重要:これら以外のWebブラウザでもiManagerにアクセスできる場合がありますが、完全な機能は保証されません。
iManagerを使用すると、次のようなスーパバイザの作業を実行できます。
eDirectoryへのLDAPおよびXMLベースのアクセス設定
ネットワークユーザ、デバイス、およびリソースを表すオブジェクトの作成
新規ユーザアカウント作成用のテンプレートの定義
ネットワークオブジェクトの検索、変更、移動、および削除
管理権を委託する権利と職種の定義
カスタムオブジェクトタイプとプロパティを作成するためのeDirectoryスキーマの拡張
複数のサーバでのeDirectoryデータベースのパーティション化とレプリカの作成
DSRepair、DSMerge、バックアップおよび復元などのeDirectory管理ユーティリティの実行
その他にも、iManagerにロードされたプラグインに基づいた管理機能を実行できます。iManager 2.7には、次のeDirectoryプラグインがバンドルされています。
eDirectory Backup and Restore
eDirectory Log Files
eDirectory Merge
eDirectory Repair
eDirectory Service Manager
eGuideコンテンツ
iManager基本コンテンツ
インポート/エクスポート変換ウィザード
インデックス管理
iPrint
LDAP
ユニバーサルパスワードの強制
優先度同期
暗号化属性
暗号化レプリケーション
NetIQ Licensing Services (NLS)
NetIQモジュラー認証サービス(NMAS)
PKI/Certificate
フィルタ処理済レプリカ環境設定ウィザード
[SNMP]
WAN Traffic Manager
iManagerのインストール、設定、および実行についての詳細は、『NetIQ iManager 2.7 Administration Guide』を参照してください。
eDirectoryでは、ユーザはグローバルディレクトリにログインするため、ユーザごとに複数のサーバやドメインを管理する必要はありません。また、ドメイン間の信頼関係や通過時の認証を管理する必要もありません。
ディレクトリのセキュリティ機能の1つは、ユーザの認証です。ユーザがログインするためには、あらかじめユーザオブジェクトがディレクトリ内に作成されている必要があります。ユーザオブジェクトには、名前やパスワードといった、特定のプロパティがあります。
ユーザがログインすると、eDirectoryは入力されたパスワードとディレクトリに格納されているそのユーザのパスワードを照合し、一致した場合にアクセスを許可します。