LDAP セキュリティーの基礎概念

LDAP セキュリティーには、次の 3 つのコンポーネントがあります。

  • LDAP セキュリティーオブジェクト

  • LDAP ツリー構造

  • 識別名

LDAP セキュリティーオブジェクト

認証に使用される LDAP オブジェクトは次のとおりです。

  • 組織単位 (OU): objectClass organizationalUnit (OU)

    組織単位オブジェクトは、Windows ディレクトリに似ています。LDAP の場合は通常、グループオブジェクトまたはユーザーオブジェクトのどちらかを保持します。

  • グループ (CN): objectClass group (CN) [posixGroup も]

    組織単位がディレクトリに似ていると同様に、グループオブジェクトはファイルに似ています。グループオブジェクトには、そのグループ内のユーザーを定義する識別名のリストであるメンバー属性が含まれています。

  • ユーザー (CN): objectClass user (CN) [organizationalPerson も]

    同様にファイルに似たユーザーオブジェクトは、LDAP 構造内の 1 人のユーザーを記述します。グループとは異なり、ユーザーにはリストが含まれていません。代わりに、その属性は、必要なだけ詳細にユーザーを記述します。

LDAP ツリー構造

LDAP エントリの構造は、UNIX と Windows の両方に見られるディレクトリやファイルのなじみのあるツリー構造に対応しています。Weblogic サーバーの構成中にベースグループと主体を構成する場合は、ツリー構造を使用してオブジェクトの識別名を構築することが重要です。

LDAP 識別名

識別名は、ほかのすべてのオブジェクトと区別するために各 LDAP オブジェクトに関連付けられた値です。この値は、上で説明したツリー構造に基づいています。識別名を構築するには、基本的に、名前を付けようとしているオブジェクトから始めてツリーの先頭までたどります。したがって、ユーザー John Doe の識別名は次のようになります。

CN=johndoe,OU=Users,OU=VSMGUI,DC=yourfirm,DC=com

通常、DN 内のオブジェクトタイプは大文字ですが、小文字も有効です。オブジェクトの名前の場合は、実際の名前の大文字と小文字と完全に一致する必要があります。さらに、コンマとオブジェクトタイプの間に空白を入れないようにしてください。DN 内に存在するべき空白は、オブジェクトの名前の中に存在する空白だけです。したがって、VSM Admins の DN は次のようになります。

CN=VSM Admins,OU-Groups,OU=VSMGUI,DC=yourfirm,DC=com

Weblogic には、有効な DN に関する制限があります。DN に追加される可能性のある特定の文字が Weblogic サーバーによって許可されていません。これらの文字は、コンマ (,)、プラス記号 (+)、引用符 (”)、バックスラッシュ (\)、山括弧 (< と >)、およびセミコロン (;) です。

これらのうち、もっとも一般的なのはコンマ (特に、ユーザー名が Smith, John という形式である場合) です。どの DN にもこれらの文字のいずれかが含まれている場合がありますが、これは通常 Active Directory で発生します。いずれかのユーザーは常に、LDAP サーバーへのアクセスを許可するユーザーである主体として設定されるため、これは重要です。DN にこれらの文字のいずれかが含まれている場合は、主体を、別の対応する DN を持つ特殊なユーザーとして追加する必要があります。

注記:

  • 顧客の環境によっては、上で説明したデフォルト構成が、さまざまな組織に対して定義された LDAP レイアウトスキームに適合しない可能性があります。たとえば、グループ情報が完全に個別のサブツリー内にあるため、グループは各グループが定義されているディレクトリ内に存在し、VSMGUI グループという名前が付けられる可能性があります。ユーザーは、完全に個別のサブツリー内にあり、VSMGUI ユーザーという名前が付けられる可能性があります。組織単位 VSMGUI は、まったく定義する必要がない可能性があります。これらの場所の変更により、Weblogic 構成内の各フィールドに対して別の DN が作成されるため、それに応じて設定する必要があります。

  • ユーザーを設定するには、2 つの別の方法があります。通常は、すでに存在するユーザーの名前を新しい組織単位に追加し、それをユーザーベースディレクトリにします。または、ユーザーベースディレクトリをいずれかのコンテナタイプの LDAP オブジェクトに設定し、そのグループのメンバーであるすべてのユーザーが VSM GUI を使用できるようにすることもできます。

  • LDAP サーバー内の値を設定するには通常、LDAP サーバーへのセキュリティーアクセス権を持つユーザーが必要です。新しいサーバーを設定している場合は、管理者として LDAP サーバーにアクセスできるべきです。

  • DN 値 (「Principal」、「User Base DN」、および「Group Base DN」) には特に注意し、「Name Filter」値によって「Attribute」および「Object Class」値が正しく定義されていることを確認してください。認証が正しく機能するには、すべてが Active Directory 値に完全に整合している必要があります。