LDAP
HCL ® Sametime® は、ユーザー認証にネイティブの Domino ディレクトリーまたは LDAP ディレクトリーを使用します。このトピックでは、LDAP ディレクトリーの計画方法について説明します。Lotus Sametime をデプロイする前に、LDAP サーバーをセットアップして実行しておく必要があります。
システム要件
Sametime は V3 互換の LDAP サーバーと共に機能します。
パフォーマンス
リソースの競合によるパフォーマンスの低下と LDAP 検索の失敗を避けるために、Sametime Community Server と同じコンピュータ上でディレクトリをホストしないでください。
LDAP パフォーマンスは、デプロイメントを正常に行うための重要な要素です。LDAP には、Sametime によって多大な負荷がかかります。以下に示すすべての Sametime LDAP トラフィックのパフォーマンス要件を検討してください。
- クライアントの検索
- 認証
- 連絡先リストの管理
- ミーティングへの招待
- ビジネスカード機能
- モバイルクライアント
デプロイメント計画の一環として、LDAP クラスタにさらにクラスタメンバーを追加することもできます。
LDAP への負荷を最小限にするために、使用する検索フィルタはできる限り最小限に抑えてください。ログイン時の選択肢に、名前、メールアドレス、従業員 ID などを使用すると、検索フィルタが長くなり、LDAP にかかるパフォーマンス上の負荷が大きくなります。
LDAP を計画するときは、シングルサインオン (SSO) に留意してください。会社のアプリケーションチームに、SSO について説明しておいてください。簡単かつ最小限の手順でログインできるようにするために、ユーザーにログインを許可する標準的な方法を提案してください。すべてのアプリケーションが、同じ方法で LDAP を使用する必要があります。使用する検索フィルタがアプリケーションごとに異なっていると、検索や認証で問題が発生する原因になります。
メール属性
Sametime では、各ユーザーレコードに LDAP mail 属性が必要です。
mail 属性を使用すると、属性間の変換が不要になるため、パフォーマンスが向上します。また、共通の汎用的な属性を使用することで、一貫性と完全性を確保することもできます。
この属性は、匿名 (ゲスト) ユーザーには不要です。属性は、固有の文字列でなければならず、メールアドレスの構文および長さの制限に従うのが望ましい属性です。さらに、mail 属性は、オーディオとビデオによる通信をサポートするために、すべてのユーザーについて設定する必要があります。
mail 属性は、メールの目的で使用されるわけではないので、Sametime にログインするためのユーザー名として割り当てる必要はありません。代わりに、mail 属性は、各種の Sametime サブシステム (カレンダー統合、ビジネスカード、LDAP、REST API など) の間の共通属性として機能します。
複数ディレクトリのサポート
複数ディレクトリは、以下の制約付きでサポートされています。
- グループには、同じディレクトリサーバー、および LDAP サーバー文書で指定された同じベース DN に属するメンバーだけを含めることができます。今回のリリースの Sametime では混合グループがサポートされていません。
- stconfig.nsf データベース内に同じディレクトリの複製を複数作成することはできません。効果的な負荷分散のために、Load Balancer を通じて LDAP トラフィックを経路指定する必要があります。
- サーバーで参照機能を有効にする場合は、LDAP タイムアウトや返される検索結果の最大数など一部の機能を無効にすることが必要になる場合があります。
- 複数の LDAP リポジトリを使用する場合は、ベースエントリがオーバーラップしないことを確認する必要があります。 なぜなら、ベースエントリがオーバーラップすると、Secure Sockets Layer (SSL) が有効なときに問題が発生するからです。
例えば、以下のベース・エントリは、共通のフィールドがあるのでオーバーラップします。
o=renovations
o=sales,o=renovations
以下のベースエントリは、異なるフィールドを使用しているので許容されます。
o=renovations,c=us
o=sales
連絡先リスト
Sametime では、ユーザーがその連絡先リストにサイズの大きい公開グループを含めると問題が生じる場合があります。問題を回避するため、Sametime で使用する公開グループのサイズは 1000 ユーザーに制限してください。
アップグレードに関する考慮事項
ネイティブの Domino ディレクトリーから LDAP ディレクトリーへの移動を検討している場合は、vpuserinfo.nsf 内のユーザー名を LDAP 形式に変換する必要があります。これは、Sametime Name Conversion ユーティリティーを使って行います。
ベスト・プラクティス
「Best Practices for using LDAP with Sametime」には、LDAP コンポーネントの概要が記載されており、Sametime コミュニティー・サーバー が LDAP と連携して、認証、名前の検索、名前の解決を行う方法が示されています。この記事には、検索フィルタの作成、sametime.ini パラメータの設定、IBM Sametime と LDAP のパフォーマンス向上を行うためのベストプラクティスが説明されています。