PAM ESM モジュールを使用して、単一のセキュリティ マネージャーでエンタープライズ サーバーを保護できます。この構成では、リソース アクセス制御はなく、ユーザー アクセス (サインオン) のみになります。
PAM を使用したユーザー アクセス制御およびリソース アクセス制御を可能にするには、PAM ESM モジュール用と MLDAP ESM モジュール用の 2 つのセキュリティ マネージャーが必要です。リソース アクセス規則は、LDAP リポジトリで構成する必要があります。
この構成では、セキュリティ構成のマネージャー リストで PAM セキュリティ マネージャーが通常は最初に提示されるため、PAM がユーザーを最初に確認することになります。MLDAP セキュリティ マネージャーは 2 番目に提示されます。
オペレーティング システムのユーザー グループ情報を使用する場合は、外部セキュリティ機能 (ESF) のグループ フェデレーションを構成する必要があります。詳細については、「セキュリティ フェデレーション」を参照してください。これにより、PAM モジュールおよび MLDAP モジュールでグループ情報を共有できます。たとえば、ユーザーがオペレーティング システムのグループ「dev」に属している場合、リソース制御ルールで「dev グループ」を参照するリソースのアクセス制御エントリを作成できます。
この構成では、通常、エンタープライズ サーバーの [Security] タブまたは [Default ES Security] タブにある [Use all groups] オプションを使用できます。このオプションが有効になっている場合、ユーザーは自分のグループのいずれかに関連付けられているすべての権限を有します。有効になっていない場合、ユーザーは自分のサインオン グループに関連付けられている権限のみを有します。