|
| |
| Sun Java System Access Manager 6 2005Q1 管理ガイド | |
第 17 章
Active Directory の認証属性Active Directory の認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、Active Directory 認証テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。Active Directory の認証属性は次のとおりです。
プライマリ Active Directory サーバー
このフィールドは、Access Manager のインストール時に指定するプライマリ Active Directory サーバーのホスト名およびポート番号を指定します。これは、Active Directory 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。
複数のドメインに Access Manager が配備されている場合は、Access Manager および Directory Server の個々のインスタンス間の通信リンクを、次の形式で指定できます。複数のエントリを指定する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。
local_servername|server:port local_servername2|server2:port2 ...
たとえば、異なる場所に配備された 2 つの Access Manager インスタンス (L1-machine1-IS および L2- machine2-IS) が、それぞれ別の Directory Server インスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合は、次のように指定できます。
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
セカンダリ Active Directory サーバー
このフィールドは、Access Manager プラットフォームが利用できるセカンダリ Active Directory サーバーのホスト名およびポート番号を指定します。プライマリ Active Directory サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが起動すると、Access Manager はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。
警告
Access Manager を使用する企業から遠隔地にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の Active Directory サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。
ユーザー検索の開始 DN
このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。すべての有効な DN が認識されます。「検索範囲」属性で「オブジェクト」を選択する場合、DN にはプロファイルが存在するレベルの 1 レベル上を指定する必要があります。
複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリを指定する場合は、次のようになります。
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
root ユーザーバインド DN
このフィールドは、「プライマリ Active Directory サーバー」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証サービスをこの DN にバインドする必要があります。デフォルト値は amLDAPuser です。すべての有効な DN が認識されます。
パスワードが間違っているとロックアウトされるので、ログアウトする前にパスワードが正しいことを確認してください。ロックアウトされた場合は、AMConfig.Properties ファイル内の com.iplanet.authentication.super.user プロパティで指定されているスーパーユーザー DN を使ってログインできます。デフォルトでは、これはログインに通常使用する amAdmin アカウントですが、完全な DN を使用する必要があります。次に例を示します。
uid_amAdmin,ou=People,AccessManager-base
rootユーザーバインドパスワード
このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な Active Directory パスワードだけが認識されます。
root ユーザーバインドパスワード (確認)
パスワードを確認します。
ユーザープロファイルの取得に使用する属性
ユーザー認証が成功したあと、ユーザーのプロファイルを取得します。この属性の値を使用して検索を実行します。このフィールドは、使用する Active Directory 属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で givenname などの異なる属性を使用している場合は、このフィールドに属性名を指定します。
認証するユーザーの検索に使用する属性
このフィールドには、認証対象ユーザーの検索フィルタを設定するために使用する属性を一覧表示します。これによりユーザーは、ユーザーのエントリにある複数の属性によって認証を受けることができます。たとえば、このフィールドが uid、employeenumber、および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。
ユーザー検索フィルタ
このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーエントリネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。
検索範囲
このメニューは、一致するユーザープロファイルの検索対象となる、Directory Server 内の階層の数を示します。検索は、「ユーザー検索の開始 DN」属性で指定されるノードから開始します。デフォルト値はサブツリーです。次のリスト項目から 1 つ選択できます。
Active Directory サーバーへの SSL アクセスを有効
このオプションは、「プライマリ Active Directory サーバー」および「セカンダリ Active Directory サーバー」フィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、これは無効になっているので、Directory Server へのアクセスに SSL プロトコルは使用されません。ただし、この属性が有効になっている場合は、非 SSL サーバーにバインドできます。
SSL が有効な状態で LDAP サーバーが動作している場合は (LDAPS)、必ず適切な信頼された SSL 証明書によって Access Manager を設定し、Access Manager が LDAPS プロトコルで Directory サーバーに接続できるようにする必要があります。
認証するユーザー DN を返す
Access Manager ディレクトリが Active Directory 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって Active Directory 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId のみを返すため、認証サービスはローカルの Access Manager Active Directory でユーザーを検索します。外部の Active Directory ディレクトリが使用された場合、通常このオプションは有効になりません。
Active Directory サーバーのチェック間隔
この属性は Active Directory サーバーのフェイルバックに使用します。Active Directory プライマリサーバーが実行中であることを確認するまでに、スレッドが「スリープ」する時間を分単位で定義します。
ユーザー作成属性リスト
この属性は、外部 Active Directory サーバーとして Active Directory サーバーが設定されているときに、Active Directory 認証モジュールで使用されます。ローカルと外部の Directory Server との間の属性のマッピングが含まれます。この属性は次の形式です。
この属性に値が指定されると、外部属性の値が外部 Directory Server から読み込まれ、内部 Directory Server 属性に対して設定されます。コア認証モジュールのユーザープロファイル属性が「ダイナミックに作成」であり、かつユーザーがローカル Directory Server インスタンスに存在しない場合だけ、外部属性の値が内部属性に設定されます。新しく作成されるユーザーには、ユーザー作成属性リストで指定した内部属性の値と、その値にマッピングされた外部属性の値が含まれます。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
注
認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。