LDAP ディレクトリに接続する
- 関連する LDAP ディレクトリに配置されたBlackBerry UEMの LDAP アカウントを作成します。アカウントは、以下の要件を満たす必要があります。
- アカウントが、ディレクトリ内のすべてのユーザーを読み取る権限を持つ。
- アカウントのパスワードが期限切れにならず、次回のログインでユーザーがパスワードの変更を求められない。
- LDAP 接続が SSL 暗号化されている場合は、LDAP 接続のサーバー証明書があること、および LDAP サーバーが TLS 1.2 をサポートしていることを確認します。SSL が有効な場合、BlackBerry UEMへの LDAP 接続は TLS 1.2 を使用する必要があります。
- 組織で使用する LDAP 属性値を確認します(以下の手順では、一般的な属性値の例を示します)。手順 11 以降で LDAP 属性値を指定する必要があります。
- メニューバーで、[設定] > [外部統合] > [会社のディレクトリ]をクリックします。
- [LDAP 接続を追加]をクリックします。
- [ディレクトリ接続名]フィールドに、ディレクトリ接続の名前を入力します。
- [LDAP サーバー検出]ドロップダウンリストで、次の操作のいずれかを実行します。
- 自動的に LDAP サーバーを検出するには、[自動]をクリックします。[DNS ドメイン名]フィールドで、会社のディレクトリをホストするサーバーのドメイン名を入力します。
- LDAP サーバーのリストを指定するには、[以下のリストからサーバーを選択]をクリックします。[LDAP サーバー]フィールドで、LDAP サーバーの名前を入力します。LDAP サーバーを追加するには、
をクリックします。
- [デバイスの所有]ドロップダウンリストで、次の操作のいずれかを実行します。
- LDAP 接続が SSL 暗号化されている場合は、[はい]をクリックします。[LDAP サーバーの SSL 証明書]フィールドの横にある[参照]をクリックし、LDAP サーバーの証明書を選択します。
- LDAP 接続が SSL 暗号化されていない場合は、[いいえ]をクリックします。
- [LDAP ポート]フィールドに、通信の TCP ポート番号を入力します。デフォルト値は、SSL が有効な場合は 636、SSL が無効な場合は 389 です。
- [認証が必須]ドロップダウンリストで、次の操作のいずれかを実行します。
- 接続に認証が必要な場合は、[はい]をクリックします。[ログイン]フィールドで、LDAP へのログインが認証されているユーザーの DN を入力します(例:an=admin,o=Org1)。[パスワード]フィールドにパスワードを入力します。
- 接続に認証が必要ない場合、[いいえ]をクリックします。
- [ユーザー検索ベース]フィールドに、ユーザー情報の検索でベース DN として使用する値を入力します。
- [LDAP ユーザー検索フィルター]フィールドに、組織のディレクトリサーバーでユーザーオブジェクトを検索するのに必要な LDAP 検索フィルターを入力します。たとえば、IBM Domino Directoryの場合、「(objectClass=Person)」を入力します。検索結果から無効なユーザーアカウントを除外するには、(&(objectclass=user)(logindisabled=false))を入力します。
- [LDAP ユーザー検索範囲]ドロップダウンリストで、次の操作のいずれかを実行します。
- ベースオブジェクトに続くすべてのオブジェクトを検索するには、[すべてのレベル]をクリックします。これがデフォルト設定です。
- ベース DN から直接続く 1 レベルのオブジェクトを検索するには、[1 レベル]をクリックします。
- [固有 ID]フィールドに、組織の LDAP ディレクトリの各ユーザーを個別に識別する属性名を入力します(不変でグローバルに一意な文字列であることが必要です)。たとえば、IBM DominoLDAP 7 以降では、dominoUNIDです。
- [名]フィールドに、各ユーザーの名の属性を入力します(たとえば、givenName)。
- [姓]フィールドに、各ユーザーの姓の属性を入力します(たとえば、sn)。
- [ログイン属性]フィールドに、認証のためのユーザーのログイン属性を入力します(たとえば、uid)。
- [メールアドレス]フィールドに、各ユーザーのメールアドレスの属性を入力します(たとえば、mail)。値を設定しない場合、デフォルト値が使用されます。
- [表示名]フィールドに、各ユーザーの表示名の属性を入力します(たとえば、displayName)。値を設定しない場合、デフォルト値が使用されます。
- [メールプロファイルのアカウント名]フィールドに、各ユーザーのメールプロファイルのアカウント名の属性を入力します(たとえば、mail)。
- [ユーザープリンシパル名]フィールドに、SCEP のユーザープリンシパル名を入力します(たとえば、mail)。
- ディレクトリ接続のディレクトリにリンクされたグループを有効にするには、[ディレクトリにリンクされたグループを有効にする]チェックボックスをオンにします。以下の情報を指定します。
- [グループ検索ベース]フィールドに、グループ情報の検索でベース DN として使用する値を入力します。
- [LDAP グループ検索フィルター]フィールドに、会社のディレクトリでグループオブジェクトを検索するのに必要な LDAP 検索フィルターを入力します。たとえば、IBM Domino Directoryの場合、「(objectClass=dominoGroup)」を入力します。
- [グループ固有 ID]フィールドに、各グループの固有 ID の属性を入力します。この属性は、不変でグローバルに一意であることが必要です(たとえば、「cn」を入力)。
- [グループの表示名]フィールドに、各グループの表示名の属性を入力します(たとえば、「cn」を入力)。
- [グループメンバーシップの属性]フィールドに、グループメンバーシップの属性の名前を入力します。属性値は DN 形式にする必要があります(たとえば、CN=jsmith、CN=Users、DC=example、DC=com)。
- [テストグループ名]フィールドに、指定したグループ属性を検証するための既存のグループ名を入力します。
- [保存]をクリックします。
- [閉じる]をクリックします。
ディレクトリ同期スケジュールを追加する場合は、「同期スケジュールを追加する」を参照してください。