パススルー認証用のドメインの指定

デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、ゲートウェイで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。

信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。

• すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。

• ユーザー/パスワードの組み合わせがドメインに依存する。

ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。

ユーザー/パスワードの組み合わせがドメインに依存する場合、およびユーザーがドメイン情報を知るように要求される場合は、ログイン画面でドメイン情報を入力することをユーザーに許可できます。このオプションは、共通リソースを含む組み合わせで使用できます。

ログインページでドメインの入力をユーザーに許可するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次のプロパティーを追加します。

<AuthnProperty name=’w2k_domain’ displayName=’Domain:’ formFieldType=’text’ 
dataSource=’user’ doNotMap=’true’/>

グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。

複数のゲートウェイ (フォレストごとに 1 つずつ) が配備されている場合にのみ、フォレスト間のユーザー管理が可能です。この場合、ユーザーがドメインを指定する必要がなく、アダプタごとに認証用に事前定義されたドメインを使用するようにアダプタを設定できます。これを実現するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次の認証プロパティーを追加します。

<AuthnProperty name=’w2k_domain’ dataSource=’resource attribute’ 
value=’MyDomainName’/>

ユーザーを認証するドメインで MyDomainName を置き換えます。

ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。

1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。