FirstClassディレクトリサービスについて


	FirstClassディレクトリサービスについて FirstClassディレクトリサービスで対応する内容名前の重複の禁止ディレクトリサービスに直接依存しない既知の問題 FirstClassディレクトリサービスについて自分が所属する組織でLDAPサーバを使用してユーザ管理をしている場合、FirstClassディレクトリサービスを利用すると、ディレクトリ情報の管理作業をFirstClassで分担することができます。FirstClassディレクトリサービスはFirstClassのオプションのコンポーネントで、次の作業を行うことができます。・FirstClassディレクトリを外部LDAPバージョン３のサーバ（LDAPサーバ）から管理。・ LDAPバージョン３が利用可能なクライアント（LDAPクライアント）を使用して、FirstClassのディレクトリ情報を体系的、階層的に表示（ツリー表示）。・ FirstClassにログインを試みるユーザをLDAPサーバで認証。注意 FirstClassディレクトリサービスは、Windowsマシンでのみ実行可能です。FirstClassサーバは、Windows以外のOSでも実行可能です（詳細はご確認ください）。このヘルプでは、階層化や名前付けの規則などのLDAPに関する概念に精通していることを前提とします。精通していない場合は、所属する組織のLDAPサーバ管理者に相談するとよいでしょう。いずれにせよ、LDAPサーバ管理者と緊密に協力して、LDAPサーバとの連動が正しく行われるように、FirstClass環境を正しく設定する必要があります。 FirstClassディレクトリサービスは、FirstClassサーバとLDAPサーバの間に位置付けられるものです。FirstClassディレクトリサービスは、FirstClassサーバと同じマシンにも、別のマシンにもインストールすることができます。FirstClassディレクトリサービスは、下図にあるように、FirstClassサーバとLDAPサーバの情報を相互に複製します。 FirstClassディレクトサービスを実行しているマシンが停止した場合、FirstClassディレクトリサービスは、そのマシンの再起動後、中断した箇所から処理を再開します。注意この場合、ディレクトリの完全同期を行うことをお奨めします。外部LDAPサーバの中には、停止時の変更だけを複製するため、停止している間に更新が試みられたFirstClassディレクトリ情報を失ってしまうものがあります。先頭へ FirstClassディレクトリサービスで対応する内容 FirstClassディレクトリサービスと連動して利用できるものは、次のとおりです。・以下のLDAPバージョン３サーバ・ Sun Microsystems社のiPlanet Directory Server ・ Microsoft社のActive Directory ・ OpenLDAP（SLAPD）ディレクトリサーバ・ LDAPバージョン３対応のクライアント・ FirstClassディレクトリに登録されている以下の内容・レギュラーユーザ・リモートユーザ・リモート名・公開メールリスト・組織単位（OU）・ LDAPデータ交換フォーマット（LDAP：LDAP Data Interchange Format）ファイル複製されるオブジェクトは、次のとおりです。 LDAPオブジェクトクラス FirstClassディレクトリ情報の種類 organizationalPerson レギュラーユーザ、リモートユーザ person リモート名 organizationalUnit 組織単位（OU） groupOfNames 公開メールリスト groupOfUniqueNames 公開メールリスト複製される情報は、次のとおりです。 LDAP属性 FirstClassディレクトリ情報の内容 surname 姓 commonName 名　イニシャル　姓 givenName 名 initials イニシャル telephoneNumber 電話 facsimileTelephoneNumber FAX postalAddress 住所 userPassword パスワード organizationalUnitName グループ（組織単位（OU））の名前 mail エイリアス userid ユーザID member メールリストのエントリ uniqueIdentifier クライアントID uniqueMember メールリストのエントリ associatedDomain グループ（組織単位（OU））のドメイン名対応しているLDAPバージョン３のコマンドは、次のとおりです。・ ADD ・ DELETE ・ MODIFY ・ SEARCH. 次の制限事項がSEARCHフィルタに適用されます。・次のLDAP属性だけが検索できます。・ commonName ・ givenName ・ mail ・ surname ・ uniqueIdentifier ・ userid ・ FirstClassディレクトリサービスが対応するオブジェクトクラスはすべて検索できます。・要求するリターン属性はFirstClassディレクトリサービスが対応する属性になります。・ APPROXIMATEフィルタとEXTENSIBLEフィルタには対応しません。・数値に対してGTEフィルタとLTEフィルタを使用することはできません。 CHANGE RDNコマンドには対応しません。あるエントリのRDNを外部LDAPサーバが変更した場合にこのコマンドを使用すると、スレーブモードで問題が起こることがあります。FirstClassディレクトリサービスは、既存のエントリに対してこの変更が行われたことを検知しないため、２つのディレクトリに不整合が起こります。この問題は、次のいずれかの操作を行うことで解決できます。・ディレクトリの完全同期を行う。・外部LDAPサーバ上でRDNの変更を行わない。あるいは、そのエントリを削除して、更新済みのRDNで新しいエントリを作成する。先頭へ名前の重複の禁止公開メールリストの名前を複製しないことをお奨めします。FirstClassディレクトリサービスは、公開メールリストをユーザごとに別々に扱います。これは、公開メールリストの保存場所が、ディレクトリではなく［Mail List］フォルダであるためです。名前が重複したメールリストを利用できるのは、FirstClassディレクトリサービスのスタンドアロンモードにおいて、一定の条件を満たした場合だけです。ユーザ名は、重複しても問題ありません。別々の組織単位（OU）にユーザ名の重複がある場合、LDAPツリー表示では各ユーザ名が異なる場所に表示されるため、従来のFirstClassディレクトリ表示より見分けやすくなります。FirstClassディレクトリサービスは、このツリー表示をユーザIDだけでなく名前でも管理しているので、同じ組織単位（OU）内に重複するユーザ名が存在しても問題はありません。また、重複する組織単位（OU）名を同じLDAPツリーに表示させることもできます。例えば、ある企業にある２つの支店の両方に、「管理者」組織単位（OU）を作成することができます。先頭へディレクトリサービスに直接依存しない既知の問題・［ディレクトリサービス設定］フォームで正しく保存されない値があります。値はサーバには反映されますが、フォームには保存されません。・［Sub Admins］グループのユーザは外部サーバにより認証されます。これは将来修正されるサーバのバグです。［Sub Admin］グループのユーザのリモート認証が選択された場合、FPPセッションは失敗します。修正されるまではFPPのためのアカウントに主管理者アカウントを使用してください。・LNはFirstClass上では半角32文字で切り捨てられます(FirstClassサーバの制限)。・ユーザのイニシャルは３文字に制限されています。４文字以上は切り捨てられます(FirstClassサーバの制限)。・アクティブディレクトリのアイテムをLDIFを使用してインポートする際に問題が発生することがあります(アクティブディレクトリがLDAP非標準の"user"属性をエントリに不正にラベル付けしてしまいます)　。 LDIFインポートが不正なエントリの処理を次のエントリに継続してしまいます。先頭へ