Skip to main content
OnCommand Insight
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAP用のInsightの設定

共同作成者
PDF

OnCommand Insight は、Lightweight Directory Access Protocol(LDAP)設定を使用して、社内のLDAPドメインで設定する必要があります。

LDAPまたはSecure LDAP(LDAPS)で使用するようにInsightを設定する前に、社内環境でのActive Directoryの設定をメモしておいてください。Insightの設定は、組織のLDAPドメイン設定と一致している必要があります。InsightをLDAPで使用するように設定する前に、以下の概念を確認し、LDAPドメイン管理者に問い合わせて、環境で使用する適切な属性を確認してください。

すべてのSecure Active Directory(LDAPS)ユーザに対して、ADサーバ名は証明書で定義されているとおりに正確に使用する必要があります。セキュアADログインにIPアドレスを使用することはできません。

メモ を使用して_server.keystore_and/or_server.trustore_passwordsを変更した場合は"securityadmin"、SANscreen証明書をインポートする前に_ldap_serviceを再起動してください。
メモ

OnCommand Insight は、Microsoft Active DirectoryサーバまたはAzure AD経由でLDAPとLDAPSをサポートしています。その他のLDAP実装でも動作する可能性がありますが、Insightでは確認されていません。これらのマニュアルの手順は、Microsoft Active Directoryバージョン2または3 LDAP(Lightweight Directory Access Protocol)を使用していることを前提としています。

ユーザープリンシパル名属性:

Insightでは、LDAPのUser PrincipalName属性(userPrincipalName)をユーザ名属性として使用します。ユーザープリンシパル名は、Active Directory(AD)フォレスト内でグローバルに一意であることが保証されていますが、多くの大規模な組織では、ユーザーのプリンシパル名がすぐにはわかりません。組織では、プライマリユーザー名に[ユーザープリンシパル名]属性の代わりに使用することがあります。

次に'ユーザープリンシパル名属性フィールドの代替値を示します

  • * sAMAccountName *

    このユーザー属性は、Windows 2000 NT以前のレガシーユーザー名です。これは、ほとんどのユーザーが個人用Windowsマシンにログインするのに慣れているものです。これは、ADフォレスト全体でグローバルに一意であることが保証されていません。

    メモ sAMAccountNameは'ユーザープリンシパル名属性では大文字と小文字が区別されます

  • メール

    MS Exchangeを使用するAD環境では、この属性はエンドユーザーのプライマリ電子メールアドレスです。これは、userPrincipalName属性とは異なり、ADフォレスト全体でグローバルに一意である必要があります(エンドユーザーにも馴染みがあります)。メール属性は、MS Exchange以外のほとんどの環境には存在しません。

  • 紹介

    LDAPリファーラルは、要求されたオブジェクト(より正確には、 オブジェクトが存在するディレクトリツリーのセクションを保持せず、オブジェクトを保持する可能性が高い場所をクライアントに与えます。次に、クライアントはこのリファーラルをドメインコントローラのDNS検索のベースとして使用します。理想的には、リファーラルは常にオブジェクトを保持するドメインコントローラを参照する。ただし、参照先ドメインコントローラが別のリファーラルを生成することは可能ですが、通常はオブジェクトが存在しないことを検出してクライアントに通知するのに時間はかかりません。

ヒント 通常、ユーザプリンシパル名よりもsAMAccountNameが推奨されます。sAMAccountNameは、ドメイン内で一意です(ただし、ドメインフォレスト内で一意ではない場合もあります)が、通常、ログインに使用するドメインユーザの文字列です(例:NetApp\username)。識別名はフォレスト内で一意の名前ですが、通常はユーザによって認識されません。
ヒント 同じドメインのWindowsシステム部分では、いつでもコマンドプロンプトを開き、setと入力して適切なドメイン名(USERDOMAIN=)を検索できます。OCIログイン名はになります USERDOMAIN\sAMAccountName

ドメイン名* mydomain.x.y.z.com *には、を使用します DC=x,DC=y,DC=z,DC=com をクリックします。

  • ポート * :

LDAPのデフォルトポートは389、LDAPSのデフォルトポートは636です

LDAPSの一般的なURL: ldaps://<ldap_server_host_name>:636

ログは次の場所にあります。\\<install directory>\SANscreen\wildfly\standalone\log\ldap.log

デフォルトでは、次のフィールドに値が表示されます。Active Directory環境でこれらの変更が発生した場合は、InsightのLDAP設定で変更してください。

ロール属性

所属グループ

Mail属性

メール

Distinguished Name属性

distinguishedName

リファーラル

ついて来い

グループ:

OnCommand Insight サーバとDWHサーバで異なるアクセスロールを持つユーザを認証するには、Active Directoryでグループを作成し、OnCommand Insight サーバとDWHサーバでそれらのグループ名を入力する必要があります。以下のグループ名は一例です。InsightでLDAP用に設定する名前は、Active Directory環境用に設定した名前と一致している必要があります。

Insight Groupの略

Insight Server管理者グループ

insight.server.admins

Insight管理者グループ

insight.admins

Insightユーザグループ

insight.users

Insightゲストグループ

インサイトゲスト

Reporting Administrator Groupの略

insight.report.admins

Reporting Pro Authorsグループ

insight.report.proauthors

レポート作成者グループ

insight.report.business.authors

レポートコンシューマグループ

洞察力レポートビジネス消費者

レポート受信者グループ

インサイトレポート受信者