es-ldap-setup スクリプトは、ES のデータを格納する LDAP オブジェクト クラスおよびコンテナー (スキーマ) を定義します。つまり、AD LDS または AD を Enterprise Server で使用できるように構成します。
このスクリプトはデフォルトでインストールされます。デフォルトのディレクトリは %ProgramFiles(x86)%\Micro Focus\Enterprise Developer\bin です。
es-ldap-setup の完全な構文は次のとおりです。
es-ldap-setup [/?] [/AD] username password partition server
- /? オプションを指定すると、構文メッセージおよびスクリプトで実行される操作に関する情報が表示されます。
- /AD オプションは、AD LDS ではなく AD を使用している場合に指定します。これにより、スクリプトで LDAP 管理ユーザー アカウントの作成が試行されなくなります。
- ユーザー名は、LDAP サーバーの既存または新規の管理ユーザーの名前を指定します(AD の場合は、適切な権限を持つ既存のユーザーを指定する必要があります)。デフォルトでは、現在のユーザーの名前になります。
- パスワードは、LDAP 管理者の初期パスワードです。デフォルトでは「password」になります。このパスワードはスクリプトの実行後に変更が可能です (スクリプトによって作成された管理ユーザー アカウントを無効にしたり削除したりすることもできます)。
- partition パラメーターでは、ES LDAP オブジェクトを作成するアプリケーション パーティションの LDAP 識別名 (DN) を指定します。デフォルトは「CN=Micro Focus,CN=Program Data,DC=local」です。通常、AD LDS ではそのまま使用できますが、AD を使用する場合は組織の LDAP 階層内のコンテナーの DN を指定する必要があります。詳細については、LDAP 管理者に問い合わせてください。
- server パラメーターは、LDAP サーバーのホスト名およびポートです。デフォルトでは「localhost:389」になります。これは、ローカル マシンで実行されている LDAP サーバーの標準アドレスです。
es-ldap-setup は、ほとんどの場合はパラメーターなしで実行しますが、状況によってはユーザー名およびパスワードを指定する場合があります。
- 通常のログイン ID で es-ldap-setup を実行し、ローカルにインストールした AD LDS を LDAP サーバーとして使用する場合は、パラメーターなしで実行します。
- ES で AD を使用する場合は、/AD オプションおよび 4 つのパラメーターをすべて指定します。AD への管理アクセスを持つユーザーのユーザー名とそのユーザーのパスワード、LDAP リポジトリの ES のデータを格納するパーティションの DN、および AD サーバーのホスト名とポートを指定します。
- 通常のログイン ID とは別の管理アカウントで es-ldap-setup を実行する場合は、通常のログイン ID をユーザー名として指定すると便利です。そうすれば、以降に cas-to-ad ユーティリティを実行する際に、別のユーザーを指定しなくても通常のログイン ID で実行できます。
- デフォルトの「password」以外のパスワードを使用する場合は、ユーザー名およびパスワードの両方のパラメーターを指定します。
- いずれかのパラメーターを指定する必要がある場合は、それよりも前のパラメーターの値も指定する必要があります。たとえば、別の LDAP サーバーを指定する必要がある場合は、ユーザー名、パスワード、およびパーティションも指定する必要があります。
es-ldap-setup で実行される操作は次のとおりです。
- ユーザー名の値がコマンド ラインで指定されていない場合に入力を求めます。Enter キーを押してデフォルト値を使用するか、別の値を入力します。
- セキュリティで保護されていない接続でのパスワード操作を許可するように AD LDS または AD が構成されていない場合、それらの操作を許可するように構成を変更します。これは以降の操作の一部で必要となります。このオプションをサーバーで変更した場合、スクリプトの終了前に元の値にリセットされます。
- ES のユーザー、グループ、およびリソースの LDAP クラス定義をスキーマに追加します。これにより、それらの各タイプのオブジェクトの属性が指定されます。
- ES のコンテナー オブジェクトをリポジトリに追加します。
- ES のデフォルトの LDAP ユーザー アカウントである MFReader を作成します。
- MSS ユーザーを追加するための管理 LDAP ユーザーを作成します(このステップは /AD オプションが指定されている場合はスキップされます)。
- デフォルトの MSS リソース定義ファイルで定義されている MSS ユーザーを LDAP リポジトリにインポートします。詳細については、「LDAP リポジトリへの MSS ユーザーの追加」を参照してください。
- MFDS のユーザーおよびグループを LDAP リポジトリにインポートします。
- デフォルトの MSS リソース アクセス制御定義を LDAP リポジトリにインポートします。
es-ldap-setup では、各操作の前に処理が一時停止して、実行する操作の説明が表示されます。終了すると、成功した操作と失敗した操作の数が報告され、失敗した操作のリストが表示されます。この情報は Micro Focus サポートに問い合わせる際に使用できます。
注: スクリプトの実行時に AD LDS の
dsmgmt ユーティリティに関する既知の問題が発生することがあります。この場合、次のようなエラー メッセージが表示されます。
DsBindWithSpnExW error 0x6ba (The RPC server is unavailable.)
これは、ネットワーク構成に問題があり、ユーティリティが AD LDS サーバーに接続できないことを示しています。これは Windows に原因があり、Micro Focus の問題ではありません。次の対処方法を試してください。
- ネットワーク構成から IPv6 のサポートを削除します。
- スクリプトの LDAP サーバー アドレスの指定で、localhost ではなくローカル ホスト名を使用してサーバーを指定します(myhost:389 のように、ポート番号を含める必要があることに注意してください)。
- ローカル システムのファイアウォールを無効にしてスクリプトを実行します。Symantec Client Security などの一部のアプリケーション ファイアウォールでは、ファイアウォールを無効にするだけでは十分でないこともあります。その場合は、ICMP プロトコルに関連するルールを手動で無効にするか削除してください。
- hosts ファイル (%systemroot%\system32\drivers\etc\hosts) に localhost またはローカル ホスト名の無効なエントリが含まれていないことを確認します。