test

Sun Java System Access Manager 7.1 管理ガイド

LDAPv3 属性

LDAPv3 リポジトリプラグインを設定するために、次の属性を使用できます。

LDAP サーバー

接続先 LDAP サーバーの名前を入力します。「ホスト名.ドメイン名:ポート番号」の形式を使用することをお勧めします。

複数の「ホスト:ポート番号」エントリが入力された場合、リスト内の最初のホストへの接続が試みられます。リスト内の次のエントリは、現在のホストへの接続試行が失敗した場合にのみ試行されます。

LDAP バインド DN

現在接続している LDAP サーバーに対して認証を行うために Access Manager が使用する DN 名を指定します。バインドに使用される DN 名を持つユーザーには、「LDAPv3 プラグインでサポートされるタイプおよび操作」属性で設定した、正しい追加/変更/削除権限を付与することをお勧めします。

LDAP バインドパスワード

現在接続している LDAP サーバーに対して認証を行うために Access Manager が使用する DN パスワードを指定します。

LDAP バインドパスワード (確認)

パスワードを確認します。

LDAP 組織 DN

このデータストアリポジトリのマッピング先となる DN。これは、このデータストア内で実行されるすべての操作のベース DN となります。

LDAP SSL

有効にすると、Access Manager は HTTPS プロトコルを使用してプライマリサーバーに接続します。

LDAP 接続プールの最小サイズ

接続プール内の接続の初期数を指定します。接続プールを利用すると、新しい接続を毎回作成する必要がなくなります。

LDAP 接続プールの最大サイズ

許容される接続数の上限を指定します。

検索で返される結果の最大数

検索操作で返されるエントリ数の上限を指定します。この制限に達すると、Directory Server は検索要求に一致するあらゆるエントリを返します。

検索タイムアウト

検索要求に割り当てられる最大の秒数を指定します。この制限に達すると、Directory Server は検索要求に一致するあらゆる検索エントリを返します。

参照先も LDAP 検索する

このオプションを有効にすると、ある LDAP サーバーからの別の LDAP サーバーに対する参照が自動的に実行されます。

LDAPv3 リポジトリプラグインクラス名

LDAPv3 リポジトリを実装するクラスファイルの場所を指定します。

一般属性名マッピング

フレームワークが認識する共通属性をネイティブデータストアにマップできるようにします。たとえば、フレームワークがユーザー状態の判定に inetUserStatus を使用する場合に、ネイティブデータストアが実際には userStatus を使用することが可能です。属性定義では大文字と小文字が区別されます。

LDAPv3 プラグインでサポートされるタイプおよび操作

この LDAP サーバー上で許可されている、または実行可能な操作を指定します。この LDAPv3 リポジトリプラグインでサポートされている操作はデフォルト操作だけです。LDAPv3 リポジトリプラグインでサポートされている操作は次のとおりです。

LDAP サーバー設定とタスクに基づいて、これらのリストからアクセス権を削除できますが、アクセス権の追加はできません。

設定された LDAPv3 リポジトリプラグインが Sun Java Systems Directory Server のインスタンスを指している場合は、「ロール」タイプのアクセス権を追加できます。これ以外の場合は、ほかのデータストアではロールがサポートされていない場合があるため、このアクセス権は追加できません。「ロール」タイプのアクセス権は、次のとおりです。

サポートする LDAPv3 リポジトリのタイプとして「ユーザー」がある場合は、そのユーザーに対して読み取り、作成、編集、および削除のサービス操作が可能です。言い換えると、「ユーザー」タイプがサポートされている場合は、読み取り、編集、作成、および削除の操作を使用して、アイデンティティーリポジトリからユーザーエントリの読み取り、編集、作成、および削除を実行できます。user=service 操作を使用すると、Access Manager サービスがユーザーエントリ内の属性にアクセスできます。さらに、ユーザーが属するレルムまたはロールにサービスが割り当てられている場合、ユーザーは動的サービス属性にアクセスできます。

また、ユーザーは、割り当てられたすべてのサービスのユーザー属性を管理できます。ユーザーに操作として「サービス」 (user=service) がある場合は、サービス関連の操作がすべてサポートされるように指定されます。それらの操作には、assignServiceunassignServicegetAssignedServicesgetServiceAttributes、removeServiceAttributes、および modifyService があります。

LDAPv3 プラグイン検索範囲

LDAPv3 プラグインエントリの検索に使用する範囲を定義します。範囲は次のいずれかにする必要があります。

LDAP ユーザー検索属性

このフィールドは、ユーザーに対して検索を行うための属性タイプを定義します。たとえば、ユーザーの DN が「uid=user1,ou=people,dc=iplanet,dc=com」である場合、ネーミング属性は uid です。

LDAP ユーザー検索フィルタ

ユーザーエントリの検索に使用する検索フィルタを指定します。

LDAP ユーザーオブジェクトクラス

ユーザーのオブジェクトクラスを指定します。ユーザーが作成されると、このユーザーオブジェクトクラスのリストがユーザーの属性リストに追加されます。

LDAP ユーザー属性

ユーザーと関連付けられる属性のリストを定義します。このリストにないユーザー属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。

LDAP ユーザー作成属性マッピング

ユーザーを作成するときに必要な属性を指定します。この属性では、次の構文が使用されます。

DestinationAttributeName=SourceAttributeName

ソース属性名がない場合、デフォルトはユーザー ID (uid) です。次に例を示します。

cn
sn=givenName

ユーザープロファイルを作成するには、cnsn の両方が必要です。cnuid という属性の値を取得し、sngivenName という属性の値を取得します。

ユーザー状態属性

ユーザーの状態を示す属性名を指定します。

ユーザー状態のアクティブ値

アクティブなユーザーの状態を示す属性名を指定します。デフォルトは「アクティブ」です。

ユーザー状態の非アクティブ値

非アクティブなユーザーの状態を示す属性名を指定します。デフォルトは「非アクティブ」です。

LDAP グループ検索属性

このフィールドは、グループに対して検索を行うための属性タイプを定義します。デフォルトは cn です。

LDAP グループ検索フィルタ

グループエントリの検索に使用する検索フィルタを指定します。デフォルトは、(objectclass=groupOfUniqueNames) です。

LDAP グループコンテナネーミング属性

グループがコンテナ内に位置する場合に、グループコンテナのネーミング属性を指定します。コンテナ内に位置しない場合、この属性は空のままとされます。たとえば、「cn=group1,ou=groups,dc=iplanet,dc=com」のグループ DN が ou=groups 内に位置する場合、グループコンテナネーミング属性は ou です。

LDAP グループコンテナ値

グループコンテナの値を指定します。たとえば、「 cn=group1,ou=groups,dc=iplanet,dc=com」のグループ DN がコンテナ名 ou=groups 内に位置する場合、グループコンテナ値は groups になります。

LDAP グループオブジェクトクラス

グループのオブジェクトクラスを指定します。グループが作成されると、グループオブジェクトクラスのこのリストがグループの属性リストに追加されます。

LDAP グループ属性

グループと関連付けられる属性のリストを定義します。このリストにないグループ属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。

グループメンバーシップ属性

DN が属する全グループの名前がその値である属性の名前を指定します。デフォルトは memberOf です。

一意のメンバー属性

このグループに属している DN がその値である属性名を指定します。デフォルトは uniqueMember です。

グループメンバー URL 属性

このグループに属しているメンバーを決定する LDAP URL がその値である、属性の名前を指定します。デフォルトは memberUrl です。

LDAP ピープルコンテナネーミング属性

ユーザーがピープルコンテナ内に位置する場合に、ピープルコンテナのネーミング属性を指定します。ユーザーがピープルコンテナ内に位置しない場合、このフィールドは空のままとされます。

LDAP ピープルコンテナ値

ピープルコンテナの値を指定します。デフォルトは people です。

LDAP エージェント検索属性

このフィールドは、エージェントの検索を実行するための属性タイプを定義します。デフォルトは uid です。

LDAP エージェントコンテナネーミング属性

エージェントがエージェントコンテナ内に位置する場合の、エージェントコンテナのネーミング属性。エージェントがエージェントコンテナ内に位置しない場合、このフィールドは空のままとされます。

LDAP エージェントコンテナ値

エージェントコンテナの値を指定します。デフォルトは agents です。

LDAP エージェント検索フィルタ

エージェントの検索に使用するフィルタを定義します。実際のエージェント検索フィルタは、このフィールドの値の前に「LDAP エージェント検索属性」の値を付加することによって構築されます。

たとえば、「LDAP エージェント検索属性」が uid で、「LDAP ユーザー検索フィルタ」が (objectClass=sunIdentityServerDevice) の場合、実際のユーザー検索フィルタは次のようになります。(&(uid=*)(objectClass=sunIdentityServ erDevice))

LDAP エージェントオブジェクトクラス

エージェントのオブジェクトクラスを定義します。エージェントが作成されると、エージェントオブジェクトクラスのリストがエージェントの属性リストに追加されます。

LDAP エージェント属性

エージェントと関連付けられる属性のリストを定義します。このリストにないエージェント属性の読み取りまたは書き込みは一切行うことができません。属性は大文字と小文字が区別されます。ここでオブジェクトクラスと属性スキーマを定義する前に、Directory Server でオブジェクトクラスと属性スキーマが定義されている必要があります。

認証可能なアイデンティティータイプ

レルムの認証モジュールモードがデータストアに設定されている場合は、このデータストアがユーザーまたはエージェント、あるいはその両方のアイデンティティータイプを認証できるように指定します。

持続検索ベース DN

持続検索に使用するベース DN を定義します。一部の LDAPv3 サーバーは、ルートサフィックスレベルでの持続検索のみをサポートします。

持続検索フィルタ

ディレクトリサーバーエントリに特定の変更を返すフィルタを定義します。データストアは、定義されたフィルタに一致する変更のみを受け取ります。

再起動前の持続検索の最大アイドル時間

持続検索を再開するまでの最大アイドル時間を定義します。1 よりも大きい値を設定する必要があります。1 以下の値を設定すると、接続のアイドル時間とは無関係に検索を再開します。

Access Manager がロードバランサとともに配備される場合、一部のロードバランサは、指定された時間アイドル状態が続くとタイムアウトします。この場合、ロードバランサに対して指定された時間よりも小さい値を「再起動前の持続検索の最大アイドル時間」に設定することをお勧めします。

エラーコードのあとの再試行の最大数

「再試行する LDAPException エラーコード」で指定されたエラーコードが返された場合に、持続検索操作を再試行する回数の上限を定義します。

再試行の間の遅延時間

各再試行の前に待機する時間を指定します。これは、持続検索接続にのみ適用されます。

再試行する LDAPException エラーコード

持続検索操作を再試行させるエラーコードを指定します。この属性は持続検索のみに適用され、すべての LDAP 操作に適用されるわけではありません。

キャッシュ

これを有効にした場合、Access Manager はデータストアから取得されたデータをキャッシュできます。

キャッシュされた項目の最長有効期間

削除されるまでデータがキャッシュに格納される最長期間を指定します。この値は、秒単位で定義します。

キャッシュの最大サイズ

キャッシュの最大サイズを指定します。この値を大きくすると、より多くのデータを格納できますが、必要なメモリーも増えます。この値は、バイト単位で定義します。