Mac Open Directory / LDAP の設定について

Version 8.4 以上のPaperCut は、Mac OS X サーバ上のOpen LDAP とLDAP設定を自動的に検出します。
デフォルトのLDAP 設定オプションが自動的に動作し検出します。

自動設定オプションが動作しなかったり、LDAP設定を確認したい場合は、
下記手順に従ってOpen Directory サーバの構成を弊社までご送付ください:

1.マスターとなるOpen Directory サーバへ管理者としてログインし、ターミナル( コマンド・プロンプト ) を開いてください。

2.下記コマンドを入力してください:
    sudo cp /private/etc/openldap/slapd_macosxserver.conf ~
    sudo chmod 666 ~/slapd_macosxserver.conf

(注記: スペースの入力に注意し、各行の最後はReturn キーを押下してください。)

3.ホーム･ディレクトリ上のファイル「slapd_macosxserver.conf」をメールで弊社までお送りください。

このファイルには、ベースDNと管理者DNを決定するために必要な情報が含まれます。


Mac Open Directory / LDAP の制限事項

プライマリ・グループの制限事項
Open Directory ドメインは、すべてのユーザが「プライマリ・グループ」を持ちます。
これは単にPOSIX準拠のためのレガシーの理由のためだけに使用されています。
デフォルトでは、すべてのOpen Directory ユーザのプライマリ・グループはビルトインのグループ「Users」が設定されます。
プライマリ・グループとして「Users」は残し、管理のために標準のグループを使用することをお勧めします。

Open Directory とPaperCutのLDAPインタフェースの制限のため、
ユーザのプライマリ・グループである理由でユーザがグループのメンバである場合、
グループのメンバとしてレポートされません。

例えば、ユーザのプライマリ・グループが「Staff」グループに設定されている時に、選択されたActive Directory のAPIを使用している場合、
ユーザは「Staff」グループのメンバとして表示されません。

この制限については、次のMicrosoft社のナレッジベースに記載されています: http://support.microsoft.com/?kbid=275523

この挙動はPaperCut のグループ・ベースの機能に影響を与える可能性があります。(例: クォータの割当て, 新規ユーザの作成ルール など)
ユーザの属するグループのメンバシップが正しくレポートされないためです。

そのため、すべてのユーザのプライマリ・グループとして「Domain Users」を残すことを強く推奨します。

回避方法:
プライマリ･グループとして使用されているグループをPaperCut 上で使用する必要がある場合、
問題を回避するためにミラー・グループを作成します。
例えば、「Staff」と呼ばれるグループがありプライマリ・グループの問題のため使用できない場合、
「StaffStandar」と呼ばれるグループを新規作成し、このグループにスタッフ・メンバを追加します。
迅速にスタッフ・ユーザを識別し追加するために、ActiveDirectoryのクエリ・システム利用することができます。
そして新規グループ「StaffStandard」はPaperCut で使用することができます。



Linux/Mac のプライマリ・サーバのネストしたグループのサポート
同期ソースとして「Windows Active Directory」を使用していない場合、様々なLDAPプロトコル実装の制限により、
ネストされたグループの機能は利用できません。
代わりに「フラット・グループ(Flat Group)」を使用する必要があります。
Linux または Mac OS X を使用する場合、検討することをお勧めします。



http://www.papercut.com/kb/Main/MacOpenDirectoryLDAPConfiguration