第 21 章
LDAP 認証属性

LDAP 認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、LDAP 認証テンプレートのデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。LDAP 認証属性は次のとおりです。

プライマリ LDAP サーバーとポート
セカンダリ LDAP サーバーとポート
ユーザー検索の開始 DN
root ユーザーバインド DN
root ユーザーバインドパスワード
root ユーザーバインドパスワード (確認)
ユーザーネーミング属性
ユーザーエントリ検索属性
ユーザー検索フィルタ
検索範囲
LDAP サーバーに対する SSL を有効
認証においてユーザー DN を返す
LDAP サーバーのチェック間隔
ユーザー作成の属性リスト
認証レベル

プライマリ LDAP サーバーとポート

このフィールドは、Identity Server のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。

複数のドメインに Identity Server が配備されている場合は、Identity Server および Directory Server の個々のインスタンス間の通信リンクを、次の形式で指定できます。複数のエントリを指定する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。

local_servername|server:port local_servername2|server:port ...

たとえば、異なる場所に配備された 2 つの Identity Server (L1-machine1-IS および L2- machine2-IS) が、それぞれ別の Identity Server インスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合は、次のように指定できます。

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

セカンダリ LDAP サーバーとポート

このフィールドは、Identity Server プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが起動すると、Identity Server はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。

警告	Identity Server を使用する企業から遠隔地にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。

ユーザー検索の開始 DN

このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能を確保するため、この DN はできる限り固有のものにすることが必要です。デフォルト値は、ディレクトリツリーのルートです。有効な DN はすべて認識されます。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。

servername|search dn

複数のエントリを指定する場合は、次のようになります。

servername1|search dn servername2|search dn servername3|search dn...

同一の検索で複数のユーザーが見つかった場合、認証は失敗します。

root ユーザーバインド DN

このフィールドは、「プライマリ LDAP サーバーとポート」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証サービスをこの DN にバインドする必要があります。デフォルト値は amldapuser です。有効な DN はすべて認識されます。

パスワードが間違っているとロックアウトされるので、ログアウトする前にパスワードが正しいことを確認してください。ロックアウトされた場合は、AMConfig.Properties ファイル内の com.iplanet.authentication.super.user プロパティで指定されているスーパーユーザー DN を使ってログインできます。デフォルトでは、これはログインに通常使用する amAdmin アカウントですが、完全な DN を使用する必要があります。次に例を示します。

uid_amAdmin,ou=People,IdentityServer_base

root ユーザーバインドパスワード

このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。

root ユーザーバインドパスワード (確認)

パスワードの確認。

ユーザーネーミング属性

ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。この属性の値を使用して検索を実行します。このフィールドは、使用する LDAP 属性を指定します。デフォルトでは、Identity Server はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。

注	ユーザー検索フィルタは、検索フィルタ属性とユーザーエントリネーミング属性の組み合わせです。

ユーザーエントリ検索属性

このフィールドは、認証を受けるユーザーの検索フィルタを設定するのに使用する属性をリストします。そのため、ユーザーはそのエントリで、複数の属性で認証を受けることができます。たとえば、このフィールドが uid、employeenumber および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。

ユーザー検索フィルタ

このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーエントリネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。

検索範囲

このメニューは、一致するユーザープロファイルの検索対象となる、Directory Server 内の階層の数を示します。検索は、「ユーザー検索の開始 DN」属性で指定されるノードから開始します。デフォルト値は SUBTREE です。次のリスト項目から 1 つ選択できます。

OBJECT - 指定したノードだけを検索します。
ONELEVEL - 指定したノードのレベルとその 1 つ下のレベルで検索します。
SUBTREE - 指定したノードとその下のノードのエントリすべてを検索します。

警告	サブ組織のユーザーは、サブ組織の状態が非アクティブであってもログインする可能性があります。これを防ぐには、ユーザーの所属する特定の組織を指定するように検索範囲とベース DN が設定されていることを確認してください。

LDAP サーバーに対する SSL を有効

このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、これは無効になっているので、Directory Server へのアクセスに SSL プロトコルは使用されません。ただし、この属性が有効になっている場合は、非 SSL サーバーにバインドできます。

認証においてユーザー DN を返す

Identity Server ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId のみを返すため、認証サービスはローカルの Identity Server LDAP でユーザー ID を検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。

LDAP サーバーのチェック間隔

この属性は LDAP サーバーのフェイルバックに使用します。LDAP プライマリサーバーが実行中であることを確認する前にスレッドが「スリープ」するまでの秒数を定義します。

ユーザー作成の属性リスト

この属性は、外部 LDAP サーバーとして LDAP サーバーが設定されているときに、LDAP 認証モジュールで使用されます。ローカルと外部の Directory Server との間の属性のマッピングが含まれます。この属性は次の形式です。

attr1|externalattr1

attr2|externalattr2

この属性に値が指定されると、外部属性の値が外部 Directory Server から読み込まれ、内部 Directory Server 属性に対して設定されます。コア認証モジュールのユーザープロファイル属性が「ダイナミックに作成」であり、かつユーザーがローカル Directory Server インスタンスに存在しない場合だけ、外部属性の値が内部属性に設定されます。新しく作成されるユーザーには、ユーザー作成の属性リストで指定した内部属性の値と、その値にマッピングされた外部属性の値が含まれます。

認証レベル

認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。

注	認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。

前へ      目次      索引      次へ

---

Copyright 2003 Sun Microsystems, Inc. All rights reserved.