前へ      目次      索引      次へ
Sun Java System Identity Server 2004Q2 管理ガイド

第 22 章
LDAP 認証属性

LDAP 認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、LDAP 認証テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。LDAP 認証属性は次のとおりです。

「プライマリ LDAP サーバー」
「セカンダリ LDAP サーバー」
「ユーザー検索の開始 DN」
「root ユーザーバインド DN」
「root ユーザーバインドパスワード」
「root ユーザーバインドパスワード (確認)」
「ユーザーのプロファイルの取得に使用する LDAP 属性」
「認証するユーザーの検索に使用する LDAP 属性」
「ユーザー検索フィルタ」
「検索範囲」
「LDAP サーバーへの SSL アクセスを有効」
「認証するユーザー DN を返す」
「LDAP サーバーのチェック間隔」
「ユーザー作成属性リスト」
「認証レベル」

プライマリ LDAP サーバー

このフィールドは、Identity Server のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。

複数のドメインに Identity Server が配備されている場合は、Identity Server および Directory Server の個々のインスタンス間の通信リンクを、次の形式で指定できます。複数のエントリを指定する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。

local_servername|server:port local_servername2|server:port ...

たとえば、異なる場所に配備された 2 つの Identity Server (L1-machine1-IS および L2- machine2-IS) が、それぞれ別の Identity Server インスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合は、次のように指定できます。

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

セカンダリ LDAP サーバー

このフィールドは、Identity Server プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが起動すると、Identity Server はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。

警告	Identity Server を使用する企業から遠隔地にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。

ユーザー検索の開始 DN

このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。有効な DN はすべて認識されます。検索範囲属性で「オブジェクト」を選択する場合は、DN にはプロファイルが存在するレベルの 1 レベル上を指定する必要があります。

複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。

servername|search dn

複数のエントリを指定する場合は、次のようになります。

servername1|search dn servername2|search dn servername3|search dn...

同一の検索で複数のユーザーが見つかった場合、認証は失敗します。

root ユーザーバインド DN

このフィールドは、「プライマリ LDAP サーバー」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証サービスをこの DN にバインドする必要があります。デフォルト値は amldapuser です。有効な DN はすべて認識されます。

パスワードが間違っているとロックアウトされるので、ログアウトする前にパスワードが正しいことを確認してください。ロックアウトされた場合は、AMConfig.Properties ファイル内の com.iplanet.authentication.super.user プロパティで指定されているスーパーユーザー DN を使ってログインできます。デフォルトでは、これはログインに通常使用する amAdmin アカウントですが、完全な DN を使用する必要があります。次に例を示します。

uid_amAdmin,ou=People,IdentityServer_base

root ユーザーバインドパスワード

このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。

root ユーザーバインドパスワード (確認)

パスワードの確認。

ユーザーのプロファイルの取得に使用する LDAP 属性

ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。この属性の値を使用して検索を実行します。このフィールドは、使用する LDAP 属性を指定します。デフォルトでは、Identity Server はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。

注	ユーザー検索フィルタは、検索フィルタ属性とユーザープロファイルの取得に使用する LDAP 属性の組み合わせです。

認証するユーザーの検索に使用する LDAP 属性

このフィールドは、認証するユーザーの検索フィルタを設定するのに使用する属性をリストします。そのため、ユーザーはそのエントリで、複数の属性で認証することができます。たとえば、このフィールドが uid、employeenumber および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証することができます。

ユーザー検索フィルタ

このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーエントリネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。

検索範囲

このメニューは、一致するユーザープロファイルの検索対象となる、Directory Server 内の階層の数を示します。検索は、「ユーザー検索の開始 DN」属性で指定されるノードから開始します。デフォルト値はサブツリーです。次のリスト項目から 1 つ選択できます。

オブジェクト - 指定したノードだけを検索する
1 レベル - 指定したノードのレベルとその 1 つ下のレベルで検索する
サブツリー - 指定したノードとその下のノードのエントリすべてを検索する

警告	サブ組織のユーザーは、サブ組織の状態が非アクティブであってもログインする可能性があります。これを防ぐには、ユーザーの所属する特定の組織を指定するように検索範囲とベース DN が設定されていることを確認してください。

LDAP サーバーへの SSL アクセスを有効

このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、これは無効になっているので、Directory Server へのアクセスに SSL プロトコルは使用されません。ただし、この属性が有効になっている場合は、非 SSL サーバーにバインドできます。

認証するユーザー DN を返す

Identity Server ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId のみを返すため、認証サービスはローカルの Identity Server LDAP でユーザー ID を検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。

LDAP サーバーのチェック間隔

この属性は LDAP サーバーのフェイルバックに使用します。LDAP プライマリサーバーが実行中であることを確認する前にスレッドが「スリープ」するまでの分単位の時間を定義します。

ユーザー作成属性リスト

この属性は、外部 LDAP サーバーとして LDAP サーバーが設定されているときに、LDAP 認証モジュールで使用されます。ローカルと外部の Directory Server との間の属性のマッピングが含まれます。この属性は次の形式です。

attr1|externalattr1

attr2|externalattr2

この属性に値が指定されると、外部属性の値が外部 Directory Server から読み込まれ、内部 Directory Server 属性に対して設定されます。コア認証モジュールのユーザープロファイル属性が「ダイナミックに作成」であり、かつユーザーがローカル Directory Server インスタンスに存在しない場合だけ、外部属性の値が内部属性に設定されます。新しく作成されるユーザーには、ユーザー作成属性リストで指定した内部属性の値と、その値にマッピングされた外部属性の値が含まれます。

認証レベル

認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証すると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。

注	認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。2004Q2 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースでは正常に動作していました。

前へ      目次      索引      次へ

---

Copyright 2004 Sun Microsystems, Inc. All rights reserved.