ldap レルムは、LDAP サーバーからの情報を使用して認証を行います。ユーザー情報には、ユーザー名、パスワード、およびユーザーが属するグループが含まれます。LDAP レルムを使用するには、ユーザーおよびグループを LDAP ディレクトリで事前に定義しておいてください。
LDAP レルムを作成するには、「レルムを作成する」の手順に従って新しいレルムを追加したあと、次の表に示したプロパティーを追加します。
表 9–2 ldap レルムに必要なプロパティー
プロパティー名 |
説明 |
値 |
---|---|---|
directory |
ディレクトリサーバーの LDAP URL。 |
ldap://hostname:port という形式の LDAP URL。例: ldap://myldap.foo.com:389。 |
base-dn |
ユーザーデータの場所のベース DN (Distinguished Name)。ツリー範囲検索が実行されるため、ユーザーデータのレベルより上に置かれます。検索ツリーが小さければ小さいほど、パフォーマンスが向上します。 |
検索用のドメイン。例: dc=siliconvalley, dc=BayArea, dc=sun, dc=com。 |
jaas-context |
このレルムに使用するログインモジュールのタイプ。 |
ldapRealm が必須です。 |
ldap レルムのオプションのプロパティーを、次の表に示します。
表 9–3 ldap レルムのオプションのプロパティー
プロパティー名 |
説明 |
デフォルト |
---|---|---|
search-filter |
ユーザー検索に使用される検索フィルタ。 |
uid=%s (%s はサブジェクト名に展開される)。 |
group-base-dn |
グループデータの場所のベース DN。 |
base-dn と同じですが、必要に応じて変更可能です。 |
group-search-filter |
ユーザーのグループメンバーシップ検索に使用する検索フィルタ。 |
uniquemember=%d (%d はユーザー要素 DN に展開される)。 |
group-target |
グループ名エントリを含む LDAP の属性名。 |
CN |
search-bind-dn |
search-filter 検索を実行するディレクトリの認証に使用するオプション DN。匿名検索を実行できないディレクトリにのみ必要になります。 | |
search-bind-password |
search-bind-dn で指定した DN の LDAP パスワード。 |
たとえば、次のように LDAP ユーザー、Joe Java が LDAP ディレクトリで定義されているとします。
uid=jjava,ou=People,dc=acme,dc=com uid=jjava givenName=joe objectClass=top objectClass=person objectClass=organizationalPerson objectClass=inetorgperson sn=java cn=Joe Java
ldap レルムの作成または編集をする際には、例示したコードを使用して、次の表で示す値を入力できます。
表 9–4 ldap レルムの値の例
プロパティー名 |
プロパティー値 |
---|---|
directory |
サーバーへの LDAP URL。例: ldap://ldap.acme.com:389 |
base-dn |
ou=People,dc=acme,dc=com. より上位に置くことも可能です (例: dc=acme、dc=com)。ただし、トラバースするツリーの範囲が広ければ、それだけパフォーマンスが低下します。 |
jaas-context |
ldapRealm |