LDAP サーバー文書の構成

以前のリリースの Sametime には、LDAP 設定を構成する独立した管理クライアントがありました。これらの設定は現在、設定を保持する構成データベース内で直接実行されます。

このタスクについて

注: コミュニティーに複数の Sametime サーバーがある場合は、各コミュニティー・サーバーでこれらの設定が同一である必要があります。設定が完了すると、この文書をコピーして他のサーバーの構成に貼り付けることができます。

手順

  1. HCL Notes クライアントまたは管理クライアントを管理者として起動します。
  2. 「開く」 > 「アプリケーション」 > 「アプリケーションを開く」をクリックします。
  3. サーバー名フィールドに Sametime サーバーのホスト名を入力します。
  4. ファイル名フィールドに「“stconfig.nsf”」と入力します。
  5. LDAPServer 文書までスクロールし、ダブルクリックして開きます。
  6. 文書内をダブルクリックして文書を編集モードにします。

    接続設定

    Sametime コミュニティー・サーバーが LDAP サーバーに接続する方法を定義する設定を以下に示します。

    1. 接続設定
    フィールド名 入力内容
    組織名 空白のまま
    LDAP 接続のネットワーク・アドレス LDAP サーバーの完全修飾ホスト名を入力します。LDAP が高可用性の場合は、LDAP サーバーをフロントエンドするネットワーク・デバイスのホスト名を入力します。
    LDAP 接続のポート番号 389 が LDAP 用のデフォルト非セキュア・ポートです。カスタム LDAP ポートを使用する場合は変更できます。
    LDAP 接続のログイン名

    認証済みバインドが推奨されます。バインド・アカウントの DN を入力してください。通常、これらはこの目的で作成されたアカウントで、ユーザーではなくサーバーで使用されます。

    匿名バインドの場合は、これをブランクのままにすることができます。
    LDAP 接続のパスワード バインド・アカウントで使用するパスワードを入力します。
    SSL 有効*

    暗号化されていない LDAP の場合は false を入力

    暗号化 LDAP の場合は true を入力
    SSL ポート セキュア LDAP ポート番号 (通常は 636) を入力します。
    検索順 各 LDAPServer 文書に一意の検索順を持たせる必要があります。文書が 1 つだけの場合は 1 のままにします。
    注: 暗号化 LDAP の場合は追加の構成ステップがあります。「SSL 有効」設定を true に設定すると、セキュア LDAP のすべてのステップが完了するまで LDAP は正しく機能しません。

    検索フィルター

    これらの設定は、ビジネス・ニーズ、および配置している LDAP サーバーのタイプによって異なります。

    2. 検索フィルター
    設定名 説明
    ユーザー名を絞り込む検索フィルター ユーザーの検索時に使用する検索フィルターを指定します。少なくともメール属性を保持することをおすすめします。指定された名前に「%s」が置き換えられ、実際のフィルターが作成されます。アスタリスクとペアにした場合、指定された名前で始まる名前を持つすべてのユーザーを返します。

    Active Directory:

    (&(objectclass=organizationalPerson)(|(cn=%s*)(sn=%s*)(sAMAccountName=%s*)(mail=%s*)))
    ユーザー名を識別名に絞り込む検索フィルタ これは、ユーザーを識別名に解決するためにユーザーを検索するときに使用される認証フィルターです。指定された名前に「%s」が置き換えられ、フィルターが作成されます。

    Active Directory:

    &(objectclass=organizationalPerson)(|(cn=%s)(sn=%s)(sAMAccountName=%s)(mail=%s)))
    グループ名を絞り込む検索フィルタ グループの検索時に使用する検索フィルターを指定します。指定された名前に「%s」が置き換えられ、実際のフィルターが作成されます。アスタリスクとペアにした場合、指定された名前で始まる名前を持つすべてのユーザーを返します。

    Active Directory:

    (&(objectclass=groupofnames)(cn=%s*))

    検索ベースと範囲

    ベース DN は、検索操作を開始するツリーの場所を指定します。LDAP ディレクトリーが検索される場合、クエリでは指定された範囲に基づいて常に下方向に検索されます。検索が上方向に行われることはありません。ベース・オブジェクトを構成する際には、ユーザーまたはグループが存在する、最上位に最も近い DN を入力してください。

    3. 検索ベース
    フィールド名 説明
    ユーザー項目の検索時のベース・オブジェクト ユーザーが存在する最も高いレベルにあるベース DN を入力します。

    Domino LDAP: O=例

    Active Directory:

    CN=ユーザー、DC=例、DC=com

    IBM Security Directory: O=例、C=US

    グループ項目の検索時のベース・オブジェクト

    グループが存在する最も高いレベルにあるベース DN を入力します。

    注: Domino LDAP では、すべてのグループがフラットなので、O レベルかブランクのままにする必要があります。

    Domino LDAP: O=例

    Active Directory:

    CN=グループ、DC=例、DC=com

    IBM Security Directory: O=例、C=US

    スコープ

    4. 検索範囲
    フィールド名 説明
    ユーザー検索の範囲 これをブランクのままにした場合、ベース範囲だけが検索され、ツリーの下は検索されません。すべてのサブツリーを検索するには、これを recursive に設定します。 recursive
    グループ検索の範囲 これをブランクのままにした場合、ベース範囲だけが検索され、ツリーの下は検索されません。すべてのサブツリーを検索するには、これを recursive に設定します。 recursive
    5. スキーマ設定: ユーザー
    フィールド名 説明
    Sametime ユーザーの内部 ID を定義するユーザー・エントリの属性 オプション設定: これが指定されていない場合は DN が使用されます。このエントリは、Sametime へのログインに適するSametime ユーザーの内部 ID を定義します。ユーザーが名前を変更したり、場所を変更したりするときに変更される可能性が低い、安定した LDAP 属性を選択します。

    Domino LDAP: dominounid

    *Active Directory: objectGUID

    IBM Directory Server: ibm-entryUUID

    ユーザー名を定義するユーザー・エントリの属性 これは、連絡先リストにユーザーの名前を表示するために使用される属性です。 cn
    類似の 2 つのユーザー名を区別する属性 ユーザーの名前が似ている場合があります。LDAP 内の特定のエントリとユーザーを区別するために使用できる固有の属性を入力します。 dn
    ユーザーのメール・アドレスを定義するユーザー・エントリの属性 ユーザーのメール・アドレスを持つ属性の名前を入力します。

    Domino LDAP: メール

    Active Directory: メール

    IBM Security Directory: メール
    エントリがユーザーであるかどうか判別するために使用するユーザー・オブジェクト・クラス LDAP の各エントリはオブジェクト・クラスに割り当て、ユーザー・エントリのオブジェクト・クラスを入力します。

    Domino LDAP: organizationalPerson

    Active Directory: ユーザー

    IBM Security Directory: organizationalPerson

    *Active Directory には特別なユース・ケースがあります。トピック「Active Directory の ID 属性の定義」を参照してください。

    6. スキーマ設定: グループ
    オプション 「説明」
    類似の 2 つのユーザー名を区別する属性 これはブランクのままにするか、または description などの属性に設定することができます。
    グループ名を定義するグループ・エントリの属性 これは、連絡先リストにグループ名を表示する方法を決定するために使用される属性です。 cn
    グループメンバーのユーザー名をもつグループオブジェクトクラスの属性 グループにはメンバーの名前を保持する属性があります。

    Domino LDAP: メンバー (member)

    Active Directory: メンバー (member)

    IBM Security Directory: IBM-AllMembers

    エントリがグループであるかどうか判別するために使用するグループオブジェクトクラス これは、グループによって使用されるオブジェクト・クラスの名前です。

    Domino LDAP: groupOfNames

    Active Directory: グループ

    IBM Security Directory: groupOfNames

    ホーム・サーバー

    コミュニティー・サーバーが 1 つのみ、またはコミュニティー・サーバーのクラスターが 1 つのみである場合は、ホーム・サーバーの名前属性をブランクのままにすることができます。複数のクラスターがある環境の場合は、「コミュニティー・サーバーをクラスタリングする」トピックを参照して追加情報を確認してください。

    コミュニティー Wiki のメンバーシップとアクセス権限は、コミュニティーで管理されます。

    これらの設定は、グループのメンバーシップを判別するために Sametime ポリシーによって使用されます。

    7. コミュニティー Wiki のメンバーシップとアクセス権限は、コミュニティーで管理されます。
    オプション 「説明」
    GroupMembership *これは、グループに対するユーザーのメンバーシップを検索するために使用されるフィルターです。これは、デフォルト設定のような実際のフィルターに設定するか、ユーザーがメンバーであるユーザーのグループを含む属性に設定することができます。検索の代わりに属性を使用するとパフォーマンスが向上します。

    デフォルト設定: (&(objectclass=groupofnames)(member=%s))

    MemberOf 属性の使用例:

    Domino LDAP: dominoaccessgroups

    Active Directory: memberOf

    IBM Security Directory: memberOf

    BaseMembership これはブランクのままにするか、このグループ・メンバーシップ検索を検索するベース DN を入力できます。

    *グループ・メンバーシップの設定の詳細については、「ポリシー・グループ検索フィルターにより、ポリシーが返されるのに数分かかる」を参照してください。

  7. 構成が完了したら、「ファイル」 > 「保存」をクリックして文書を保存します。
  8. コミュニティー・サーバーを再起動して変更を反映します。
    注: stconfig.nsf の LDAP 文書で「Sametime ユーザーの内部 ID を定義するユーザー・エントリの属性」が識別名の値ではない値に設定されている場合、 [Config] の sametime.ini で CL_USE_USER_DN=1 を設定します。この設定が検出されなかった場合、サーバーはデフォルトで Sametime ユーザー ID をチャット・ログのユーザーの ID として使用します。このフラグは、Sametime ユーザー ID が識別名ではない場合に使用する必要があります。

    • CL_USE_USER_DN=0 は、Sametime ユーザー ID をチャット・ログのユーザーの ID として使用します。

      アナウンスの発信者と受信者は、それぞれの Sametime ユーザー ID でのみ識別できます。そのため、ログについても Sametime ユーザー ID を使用する必要があります。

    • CL_USE_USER_DN=1 は、ユーザーの識別名 (LDAP ディレクトリーから) をチャット・ログのユーザーの識別子として使用します。

      識別名が見つからない場合は、Sametime ユーザー ID が代わりに使用されます。この識別名属性は、Sametime ユーザー ID、または別の属性になります。