バックエンド LDAP サーバーへの要求の転送
この節では、Directory Proxy Server からの要求をバックエンド LDAP サーバーに転送するためのさまざまな方法について説明します。
バインド再実行での要求の転送
Directory Proxy Server のクライアント資格のバインド再実行については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Directory Proxy Server Configured for BIND Replay」を参照してください。次の手順は、Directory Proxy Server からの要求をバックエンド LDAP サーバーにバインド再実行を使用して転送する方法について説明しています。
バインド再実行で要求を転送する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
クライアントによって提供された資格を使用してバックエンド LDAP サーバーへの接続を認証するデータソースクライアント資格を設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity
プロキシ承認での要求の転送
Directory Proxy Server 内のプロキシ承認については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Directory Proxy Server Configured for Proxy Authorization」を参照してください。
この節では、プロキシ承認とプロキシ承認制御を使用して要求を転送する手順について説明します。
プロキシ承認を使用して要求を転送する
-
version 1 または version 2 のプロキシ承認制御を受け入れるようデータソースを設定します。
たとえば、version 1 のプロキシ承認制御を受け入れるようデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true
または、version 2 のプロキシ承認制御を受け入れるようデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false
-
プロキシ承認を使用してバックエンド LDAP サーバーへの接続を認証するようデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth
書き込み操作のみのため、プロキシ承認を使用してバックエンド LDAP サーバーへの接続を認証するようデータソースを設定するには、次のコマンドを実行します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write
書き込み操作のみがプロキシ承認制御で実行される場合、クライアントのアイデンティティーは読み取り要求のために LDAP サーバーに転送されません。クライアントアイデンティティーのない要求の転送の詳細については、「クライアントアイデンティティーなしでの要求の転送」を参照してください。
-
Directory Proxy Server のバインド資格でデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename
-
タイムアウトでデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value
Directory Proxy Server は、getEffectiveRights コマンドを使用して、プロキシ承認に適した ACI がクライアント DN にあることを確認します。その結果は Directory Proxy Server のキャッシュに格納され、proxied-auth-check-timeout の期限が終了すると更新されます。
-
必要に応じて、変更を有効にするために Directory Proxy Server のインスタンスを再起動します。
Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。
要求にプロキシ承認制御が含まれている場合に、プロキシ承認を使用して要求を転送する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
version 1、version 2、またはその両方のプロキシ承認制御を受け入れるよう Directory Proxy Server を設定します。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2
クライアントアイデンティティーなしでの要求の転送
次の手順は、クライアントアイデンティティーを転送せずに Directory Proxy Server からの要求をバックエンド LDAP サーバーに転送する方法について説明しています。
クライアントアイデンティティーなしでの要求を転送する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
Directory Proxy Server の資格を使用してバックエンド LDAP サーバーへの接続を認証するようデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity
-
Directory Proxy Server のバインド資格でデータソースを設定します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename
-
必要に応じて、変更を有効にするために Directory Proxy Server のインスタンスを再起動します。
Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。
代替ユーザーとしての要求の転送
ここでは、代替ユーザーとして要求を転送する方法について説明します。
リモートユーザーマッピングを設定する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
代替ユーザーで転送が行えるように設定を有効にします。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
-
リモートマッピング用の ID を含む属性の名前を指定します。
$ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name
-
Directory Proxy Server がクライアント ID をリモートでマップできるようにします。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true
-
デフォルトマッピングを設定します。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
マップしたアイデンティティーがリモート LDAP サーバー上に見つからない場合、クライアントアイデンティティーはデフォルトアイデンティティーにマップされます。
-
リモート LDAP サーバー上のクライアントのエントリでユーザーマッピングを設定します。
Directory Server でのユーザーマッピングの設定については、「プロキシ承認」を参照してください。
ローカルユーザーマッピングを設定する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
代替ユーザーで転送が行えるように設定を有効にします。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
-
Directory Proxy Server がクライアント ID をリモートでマップする設定がされていないことを確認します。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false
-
デフォルトマッピングを設定します。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
リモート LDAP サーバー上のマッピングに失敗すると、クライアント ID がこの DN にマップされます。
-
認証されていないユーザーに操作の実行を許可する場合は、認証されていないクライアントに対するマッピングを設定します。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
認証されていないユーザーに操作の実行を許可する方法については、「匿名アクセスを設定する」を参照してください。
-
クライアントの ID を設定します。
$ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename
-
代替ユーザーの ID を設定します。
$ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename
匿名クライアントのユーザーマッピングを設定する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
認証されていないクライアントのマッピングを設定します。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
リモート LDAP サーバーには匿名クライアントのエントリが含まれていないため、匿名クライアントのマッピングは、Directory Proxy Server で設定されます。
認証されていないユーザーへの操作の実行の許可については、「匿名アクセスを設定する」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates