Microsoft Active Directory のグローバル・カタログ

グローバル・カタログとは、グローバル・カタログ・サーバーのことです。グローバル・ カタログは、グローバル・カタログが常駐するドメインの属性の完全なセットと、Microsoft Active Directory のフォレスト内のすべてのオブジェクトの属性のサブセット を保持します。Microsoft Active Directory 内のグローバル・カタログの主な 2 つの機能は、ログオン機能と Microsoft Active Directory 照会です。

製品によってインストールされる Microsoft Active Directory のグローバル・カタログは、 フォレスト内の全てのドメインのユーザー情報のサブセットが含まれる単一の Lightweight Directory Access Protocol (LDAP) リポジトリーです。この情報としては、ユーザー ID、認証情報、および一部のグループ情報があります。

グローバル・カタログは、フォレスト内のいずれのドメイン・コントローラー でも (サブドメインでも) 使用できます。 グローバル・カタログは、WebSphere® Application Server の「単一レジストリー」という制限に対するソリューションです。グローバル・カタログに対する 制限があります。ローカル・ドメイン・コントローラーのユーザーには、 グループの「memberOf」情報が含まれています。グローバル・グループ情報は すべてのドメイン・コントローラーに複製されるとは限らないため、外部ドメイン・コントローラーのユーザー には限られた「memberOf」情報しか含まれていません。

ユニバーサル・グループ内でネストされたグローバル・グループ

これは、グループ・メンバーシップの標準的な構成で、以下の特性があります。
  • ユーザーは、複数のドメイン・コントローラーを含むフォレスト内で、ドメイン・コントローラー間に わたって分散しています。
  • ユーザーは、独自のローカル・ドメイン・コントローラー内のグローバル・グループ内で定義されます。
  • ユニバーサル・グループにはグローバル・グループが含まれ、複数のドメイン・コントローラーにまたがるユーザーのセットにマップする Java™ Platform Enterprise Edition (Java EE) ロールに反映されます。

以下の図は、ユニバーサル・グループ内でネストされたグローバル・グループを示しています。

図 1. ユニバーサル・グループ内でネストされたグローバル・グループ. この図は、ユニバーサル・グループ内でネストされたグローバル・グループを示しています。ユニバーサル・グループ内でネストされたグローバル・グループ
情報が複数のドメイン・コントローラー間にわたっている場合に、ユーザーおよびそのグループ・メンバーシップを検索できるように WebSphere Application Server を構成するメソッドを開発することは容易ではありません。 ある方法では、WebSphere Application Server が、LDAP 参照を追跡してユーザーごとのホーム・ドメイン・コントローラーを検索し、 WebSphere Application Server がネストされたグループ照会を実行する必要があります。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): この手法ではグローバル・カタログを使用しません。gotcha

最も簡単な手法である 別のメソッドでは、ユーザーを含むユニバーサル・グループがあり、 グローバル・カタログを使用します。これは、参照の使用を必要とします。このメソッドを以下の図に示します。

図 2. グループ・メンバーシップの探索. この図は、グループ・メンバーシップの探索のプロセスを表しています。グループ・メンバーシップの探索
ユニバーサル・グループを使用しない方法もあります。この手法をとることができるのは、ユニバーサル・グループが使用できない場合です。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): この手法ではグローバル・カタログを使用しません。gotcha
Microsoft Active Directory グローバル・カタログを WebSphere Application Server レジストリーとして使用することも考えられます。 以下に 3 つのシナリオを示します。最初の 2 つのシナリオは、失敗がどのように発生するかを示しています。
  1. WebSphere Application Server を構成するときに、その LDAP レジストリーとしてグローバル・カタログを使用するようにして参照を追跡すると、各ドメイン・コントローラーで個々のユーザーが可視になります。ユーザーはレジストリー内に一回しか存在してはならないため、 すべてのログインが失敗します。
  2. WebSphere Application Server を構成するときに、その LDAP レジストリーとしてグローバル・カタログを使用するようにするが参照を追跡しない場合は、個々のユーザーがグローバル・グループ内にあると、 グループ・メンバーシップは不完全になります。この制限を示す以下の図を参照してください。
    図 3. グローバル・カタログ (参照を使用しない). 参照を使用しないグローバル・カタログの図。グローバル・カタログ (参照を使用しない)
  3. グローバル・カタログをその LDAP レジストリーとして使用するように WebSphere Application Server を構成して、 参照を追跡せず、ユーザーがユニバーサル・グローバル・グループ内に直接含まれる場合、 グループ・メンバーシップは完全になります。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): これらのいずれかのシナリオを選択する際には、 該当する Microsoft Active Directory 情報を調べて、 シナリオが構成計画にもたらす可能性がある影響を十分に理解してください。gotcha

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_globcat
ファイル名:csec_was_ad_globcat.html