Microsoft Active Directory サーバーのセットアップ

Db2® Warehouse はデフォルトでは内蔵タイプの LDAP サーバーを使用して認証および許可を行います。しかし、代わりに外部の Microsoft Active Directory サーバーを使用できます。

始める前に

各ノードを Active Directory ドメインに結合して、アクティビティーの監査を容易にするには、以下の予備手順を実行します。 そうではなく各ノードを LDAP クライアントとしてのみ機能させる場合は、この手順をスキップしてください。
  1. Db2 Warehouse ノードごとに Active Directory コンピューター・アカウントを作成します。
  2. それらのアカウントを管理するユーザーを作成します。
  3. そのユーザーに各アカウントに対する以下の権限を付与します。
    • パスワードをリセットする
    • DNS ホスト名の属性を書き込む
    • msDS-SupportedEncryptionTypes を書き込む
    • オペレーティング・システムを書き込む
    • オペレーティング・システム・バージョンを書き込む
    • operatingSystemServicePack を書き込む
    • servicePrincipalName を書き込む
    • userAccountControl を書き込む
    • userPrincipalName を書き込む

手順

  1. 以下のグループを作成します。
    bluadmin
    Db2 Warehouse 管理者のグループです。 その CN 属性 (フルネームまたは共通名) の値は、bluadmin でなければなりません。
    bluusers
    Db2 Warehouse ユーザーのグループです。 その CN 属性の値は、bluusers でなければなりません。
    注:
    • 両方のグループのロケーションは同じでなければなりません。つまり、CN 属性を除いて、2 つのグループの DN は同一でなければなりません。
    • 各グループの SamAccountName 属性の値は、bluadmin (bluadmin ユーザー用に予約済み) 以外の任意の値にすることができます。 例えば、2 つのグループの SamAccountName 属性を bluadmin-groupbluusers-group に設定します。
  2. bluadmin ユーザーを作成します。このユーザーは bluadmin グループのメンバーでなければなりません。
    bluadmin ユーザーには、少なくとも CN 属性と SamAccountName 属性を指定します。これらの属性を両方とも bluadmin に設定します。
  3. すべてのノードで Active Directory ドメイン・コントローラーのホスト名を解決できるようにします。例えば、各ノード・ホストの /etc/hosts ファイルに Active Directory ドメイン・コントローラーを定義する方法があります。この方法を使用して Active Directory ドメイン・コントローラーを定義する場合は、Db2 Warehouse を再デプロイする必要があります。
  4. 以下のようにして、Active Directory サーバーのクライアントとして動作するように Db2 Warehouse ノードを構成します。
    • Web コンソールを使用します。
      1. 「設定」 > 「外部ユーザー管理 (External User Management)」をクリックします。
      2. 「外部 AD (External AD)」をクリックし、Active Directory の接続情報を指定します。各ノードを Active Directory ドメインに結合する場合は、「AD ドメインに参加 (Join AD domain)」をクリックし、管理者ユーザー ID と管理者パスワードを入力します。各ノードを LDAP クライアントとしてのみ機能させる場合は、「LDAP のみ (LDAP only)」をクリックし、管理者ユーザー ID も管理者パスワードも入力しないでください。
    • ヘッド・ノードから、次のいずれかの方法で docker exec -it Db2wh configure_user_management コマンドを実行します。
      • 各ノードを Active Directory ドメインに結合する場合は、--type ad パラメーターを指定します。--realm-user パラメーターと --realm-user-password パラメーターには、各ノードでコンピューター・アカウントを管理するために作成したユーザー ID とパスワードを指定します。次に例を示します。
        docker exec -it Db2wh configure_user_management --type ad --host myhost.example.com --port 389 --realm-user Db2whAdmin –-realm-user-password passwd --searcher-dn cn=searcher,cn=users,dc=example,dc=org --searcher-password passwd
      • 各ノードを LDAP クライアントとしてのみ機能させる場合は、--type ad-ldap パラメーターを指定し、--realm-user パラメーターと --realm-user-password パラメーターは省略してください。次に例を示します。
        docker exec -it Db2wh configure_user_management --type ad-ldap --host myhost.example.com --port 389 --searcher-dn cn=searcher,cn=users,dc=example,dc=org --searcher-password passwd
      注: グループ基本 DN またはユーザー基本 DN を指定する場合:
      • グループ基本 DN は、bluadmin および bluusers グループと同じロケーションに (つまりそれらと同じディレクトリー内に) 存在する必要があります。
      • ユーザー基本 DN は、bluadmin ユーザー用に指定した DN と同じですが、uid 属性は除きます。

      --admin-group-name--user-group-name、および --admin-user-name パラメーターを使用して、 管理グループ (デフォルトは bluadmin)、ユーザー・グループ (デフォルトは bluusers)、および管理ユーザー (デフォルトは bluadmin) のデフォルト名をオーバーライドすることができます。 例えば、システムが実動システムであるかテスト・システムであるかに応じて、異なるグループおよびユーザーを使用することができます。 これらのグループおよびユーザーに関するその他の要件はすべて同じままとなります。

      詳しくは、configure_user_managementを参照してください。

  5. 必要であれば、Db2 Warehouse 管理者を bluadmin グループに追加することによって追加作成し、 Db2 Warehouse ユーザーを bluusers グループに追加することによって追加作成します。 ステップ 2 で bluadmin ユーザーを作成したのと同様の方法で作成します。各管理者とユーザーの SamAccountName は固有でなければなりません。特定の管理者またはユーザーに指定する CN 属性と SamAccountName 属性の値が一致する必要はありません。