|
| |
| Sun Java System Access Manager 6 2005Q1 管理ガイド | |
第 24 章
メンバーシップ認証属性メンバーシップ認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、メンバーシップ認証属性テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。メンバーシップ認証属性は次のとおりです。
パスワードの最少文字数
このフィールドは、自己登録時に設定するパスワードに必要な最少文字数を指定します。デフォルト値は 8 です。
この値を変更すると、次のファイルの登録およびエラーテキストでも値が変更されます。
デフォルトユーザーロール
このフィールドは、自己登録で作成されたプロファイルを持つ新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
注
指定するロールは、認証を構成する組織の下にあることが必要です。自己登録時には、そのユーザーに割り当て可能なロールだけが追加されます。ほかの DN はすべて無視されます。ロールは Access Manager ロールまたは LDAP ロールにすることができますが、フィルタロールは受け付けられません。
登録後のユーザー状態
このメニューは、自己登録したユーザーにサービスをすぐに利用できるようにするかどうかを指定します。デフォルト値は「アクティブ」なので、新しいユーザーはサービスを利用できます。管理者が「非アクティブ」を選択すると、新しいユーザーはサービスを利用できません。
プライマリ LDAP サーバー
このフィールドは、Access Manager のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。
複数のドメインに Access Manager が配備されている場合は、Access Manager および Directory Server の個々のインスタンス間の通信リンクを、次の形式で指定できます。複数のエントリを指定する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。
local_servername|server:port local_servername2|server:port ...
たとえば、異なる場所に配備された 2 つの Access Manager (L1-machine1-IS および L2- machine2-IS) が、それぞれ別の Access Manager インスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合は、次のように指定できます。
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
セカンダリ LDAP サーバー
このフィールドは、Access Manager プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが起動すると、Access Manager はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。
警告
Access Manager を使用する企業からは遠隔地にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。
ユーザー検索の開始 DN
このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。すべての有効な DN が認識されます。「検索範囲」属性で「オブジェクト」を選択する場合は、DN にはプロファイルが存在するレベルの 1 レベル上を指定する必要があります。
複数のエントリを使用する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリを指定する場合は、次のようになります。
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
root ユーザーバインド DN
このフィールドは、「プライマリ LDAP サーバー」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証サービスをこの DN にバインドする必要があります。デフォルトは amldapuser です。すべての有効な DN が認識されます。
root ユーザーバインドパスワード
このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。
root ユーザーバインドパスワード (確認)
パスワードを確認します。
ユーザープロファイルの取得に使用する LDAP 属性
このフィールドは、ユーザーエントリのネーミング規則に使用する属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で givenname などの異なる属性を使用している場合は、このフィールドに属性名を指定します。
認証するユーザーの検索に使用する LDAP 属性
このフィールドには、認証対象ユーザーの検索フィルタを設定するために使用する属性を一覧表示します。これによりユーザーは、ユーザーのエントリにある複数の属性によって認証を受けることができます。たとえば、このフィールドが uid、employeenumber、および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。
ユーザー検索フィルタ
このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。
検索範囲
このメニューは、一致するユーザープロファイルの検索対象となる、Directory Server 内の階層の数を示します。検索は、「ユーザー検索の開始 DN」属性で指定されるノードから開始します。デフォルト値はサブツリーです。次のリスト項目から 1 つ選択できます。
LDAP サーバーへの SSL アクセスを有効
このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、このチェックボックスは選択されていないので、Directory Server へのアクセスに SSL プロトコルは使用されません。
SSL が有効な状態で LDAP サーバーが動作している場合は (LDAPS)、必ず適切な信頼された SSL 証明書によって Access Manager を設定し、Access Manager が LDAPS プロトコルで Directory サーバーに接続できるようにする必要があります。
認証するユーザー DN を返す
Access Manager ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId のみを返すため、認証サービスはローカルの Access Manager LDAP でユーザーを検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
注
認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。2005Q1 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースの場合は正常に動作します。