3.14. LDAP フィルタと属性について

3.14.1. ユーザーおよびグループの検索
3.14.2. ユーザーのデスクトップの要求
3.14.3. グループメンバーシップの解決
3.14.4. LDAP キャッシュ

Oracle VDI では、ユーザーディレクトリに保存されたデータを検索して解釈するためにさまざまな LDAP フィルタおよび LDAP 属性のリストを使用します。

このセクションでは、Oracle VDI で LDAP フィルタおよび LDAP 属性を使用して、それぞれのタスクに必要な各種のユーザーディレクトリ検索を実行する方法について説明します。

これらのフィルタの編集方法については、「LDAP フィルタと属性の編集方法」を参照してください。

3.14.1. ユーザーおよびグループの検索

管理ツール (Oracle VDI Manager または CLI) を使用すると、デスクトップまたはプールに割り当てるためにユーザーおよびグループを検索できます。

検索ロジックは次のとおりです:

  • 最初にユーザーが検索されます:

    • ユーザーの検索に使用されるフィルタは: (&ldap.user.object.filter ldap.user.search.filter)

    • プレースホルダ $SEARCH_STRING*criteria* (条件は Oracle VDI Manager の検索フィールドに入力された文字列) に置き換えられます。条件文字列にすでにワイルドカード文字 (*) が含まれている場合、プレースホルダ $SEARCH_STRING は単に criteria に置き換えられます。

  • それから、次のようにして、グループが検索されます:

    • ユーザーの検索に使用されるフィルタ: (&ldap.group.object.filter ldap.group.search.filter)

    • プレースホルダ $SEARCH_STRING*criteria* (条件は Oracle VDI Manager の検索フィールドに入力された文字列) に置き換えられます。条件文字列にすでにワイルドカード文字 (*) が含まれている場合、プレースホルダ $SEARCH_STRING は単に criteria に置き換えられます。

グローバル設定 ldap.search.wildcard が無効に設定されている場合、プレースホルダ $SEARCH_STRINGcriteria (両端のワイルドカード文字なし) に置き換えられます。この場合、入力された文字列と正確に一致する結果のみが返されるようになりますが、これは、ユーザーディレクトリが非常に大規模かつ分散しているためにワイルドカード文字を使用した検索の結果が返されるまでに時間がかかる場合に便利です。

ldap.search.wildcard の値はデフォルトで有効に設定されるので、ワイルドカード文字列はデフォルトで追加されます。

3.14.2. ユーザーのデスクトップの要求

ユーザーのデスクトップを要求する場合、Oracle VDI では、ユーザー DN のプールとデスクトップの割り当てを解決する前に、ユーザー ID に一致するユーザー DN を最初に見つける必要があります。クライアント認証が有効になっている場合は、ユーザー ID 属性も認証に使用されます。

ユーザー ID の照合に使用される属性は ldap.userid.attributes で定義されます。

3.14.3. グループメンバーシップの解決

グループメンバーシップは、ldap.user.member.attributes および ldap.group.member.attributes で定義された属性を使用して解決されます。

入れ子のグループの深さは 3 までに制限されます。

また、Oracle VDI は Active Directory 固有のプライマリグループメンバーシップも解決します。プライマリグループメンバーシップの解決に使用される属性は、ldap.group.short.attributes および ldap.user.member.attributes で定義されます。

3.14.4. LDAP キャッシュ

パフォーマンスを改善してユーザーディレクトリの負荷を軽減するために、Oracle VDI によって取得されたユーザーおよびグループのエントリはキャッシュされます。LDAP キャッシュのエントリは、10 分後にタイムアウトになります。

現時点では、LDAP キャッシュのタイムアウトを変更したりキャッシュをフラッシュしたりすることはできません。