LDAP設定およびサーバーの構成

「コントロール・パネル」「資格証明」ページのLDAP設定には、認証でLDAPを有効にするかどうかおよび必須にするかどうか、LDAPサーバーへの接続、LDAPディレクトリに対するバッチ・インポートまたはバッチ・エクスポートをサポートするかどうかなどが含まれます。バッチ・インポートを処理する方法は、portal-ext.propertiesで設定されます。

portal-ext.propertiesの設定ldap.import.methodによって、LDAPからのバッチ・インポートの実行方法が決まります。この設定は、バッチ・インポートが有効な場合のみ適用されます。ldap.import.methodで使用可能な値は、次のとおりです。

説明
user ユーザー・ベースのインポートを指定します。これはデフォルト値です。

ユーザー・ベースのバッチ・インポートでは、「LDAP」タブの「ユーザー・マッピング」セクションで構成されたインポート検索フィルタが使用されます。

ユーザー・ベースのインポートでは、Big Data Discoveryは次を行います。
  1. ユーザー・インポート検索フィルタを使用して、LDAP検索問合せを実行します。
  2. 結果として生成されるユーザー(ユーザーが属するすべてのLDAPグループを含む)のリストをインポートします。

    グループ・インポート検索フィルタは無視されます。

group グループ・ベースのインポートを指定します。

グループ・ベースのインポートでは、「LDAP」タブの「グループ・マッピング」セクションで構成されたインポート検索フィルタが使用されます。

グループ・ベースのインポートでは、Big Data Discoveryは次を行います。
  1. グループ・インポート検索フィルタを使用して、LDAP検索問合せを実行します。
  2. 結果として生成されるグループ(そのグループのすべてのユーザーを含む)のリストをインポートします。

    ユーザー・インポート検索フィルタは無視されます。

使用する値は、LDAPシステムの動作方法に部分的に依存します。LDAPディレクトリがユーザー情報のみを提供し、グループ情報を提供しない場合、ユーザー・ベースのインポートを使用する必要があります。LDAPディレクトリがグループ情報のみを提供する場合、グループ・ベースのインポートを使用する必要があります。

LDAP設定を構成するには、次の手順を実行します。

  1. Studioヘッダーで、「構成オプション」をクリックし、「コントロール・パネル」を選択します。
  2. 「資格証明」をクリックします。
  3. 「認証」>「認証の構成」ボタンをクリックします。

    「LDAP」タブが選択された状態で「認証の構成」ダイアログが表示されます。


    「認証の構成」ダイアログの「LDAP」タブの上部
  4. LDAP認証を有効にするには、「有効」を選択します。
  5. ユーザーにLDAPアカウントを使用するログインだけを要求するには、「必須」を選択します。

    これが選択された場合、Studioで手動で作成されたユーザーはログインできません。手動で作成したユーザーがログインできるようにするには、このオプションの選択を解除します。

  6. 「プロバイダ・タイプ」で、接続しているLDAPサーバーのタイプを選択します。
  7. 「接続」を展開し、LDAPへの基本的な接続の設定を指定します。

    「認証の構成」ダイアログの「LDAP」タブの「接続」設定
    フィールド 説明
    ベース・プロバイダURL LDAPサーバーの場所。

    Big Data Discoveryがインストールされているマシンは、LDAPサーバーと通信できるようにしてください。

    2つのシステム間にファイアウォールが存在する場合は、適切なポートが開いていることを確認してください。

    ベースDN LDAPディレクトリの基本識別名。
    商業組織の場合、これは次のようなものになります。 
    dc=companynamehere,dc=com
    プリンシパル LDAPシステムの管理者アカウントのユーザー名。プリンシパルはユーザーの識別名(DN)である必要があります。たとえば、次のようになります。 
    CN=bddldap,OU=Service Accounts,DC=company,DC=com

    このIDは、LDAPとのユーザー・アカウントの同期に使用されます。

    資格証明 管理ユーザーのパスワード。
  8. 接続情報を指定したら、LDAPサーバーの接続をテストするために、接続のテストをクリックします。
  9. 「ユーザー・マッピング」を展開し、次の設定の値を指定します。

    「認証の構成」ダイアログの「LDAP」タブの「ユーザー・マッピング」セクション
    1. 検索フィルタ・フィールドを使用して、LDAPディレクトリでユーザーを検索および識別するためのフィルタを構成します。
      フィールド 説明
      認証検索フィルタ ユーザー・ログインの検索基準です。

      LDAPユーザーのバッチ・インポートを有効にしない場合、ユーザーが最初にログインすると、Big Data Discoveryはこの認証検索フィルタを使用して、LDAPディレクトリでユーザーを検索します。

      デフォルトでは、ユーザーは、各自の電子メール・アドレスを使用してログインします。この設定を変更した場合は、ここで検索フィルタを変更する必要があります。

      たとえば、画面名を使用するように認証方法を変更した場合は、入力されたログイン名に一致するように検索フィルタを変更します。 
      (cn=@screen_name@)
      インポートの検索フィルタ ユーザーのバッチ・インポートに使用する検索フィルタです。
      このフィルタは次の場合に使用されます。
      • LDAPユーザーのバッチ・インポートを有効にする場合
      • portal-ext.propertiesで、ldap.import.methoduserに設定されている場合

      ユーザーの識別方法には、LDAPサーバーによって、いくつか異なる方法があります。

      多くの場合、デフォルト設定(objectClass=inetOrgPerson)でかまいませんが、ユーザーのサブセットのみ、または異なるオブジェクト・クラスを持つユーザーを検索するには、この設定を変更します。

    2. 残りのフィールドを使用して、LDAP属性をBig Data Discoveryユーザー・フィールドにマップします。
    3. 属性のマッピングの設定後、マッピングをテストするには、「テスト・ユーザー」をクリックします。
  10. 「グループ・マッピング」で、LDAPグループをマップします。

    「認証の構成」ダイアログの「LDAP」タブの「グループ・マッピング」セクション
    1. 「インポートの検索フィルタ」フィールドで、LDAPグループの検索用のフィルタを入力します。
      このフィルタは次の場合に使用されます。
      • LDAPユーザーのバッチ・インポートを有効にする場合
      • portal-ext.propertiesで、ldap.import.methodgroupに設定されている場合
    2. 次のグループ・フィールドをマップします。
      • グループ名
      • 説明
      • ユーザー
    3. グループ・マッピングをテストするには、「テスト・グループ」をクリックします。

      検索フィルタによって返されたグループのリストが表示されます。

  11. 「オプション」セクションは、LDAPユーザー・データのインポートとエクスポートの構成、およびパスワード・ポリシーの選択に使用されます。
    「認証の構成」ダイアログの「LDAP」タブの「オプション」フィールド
    1. 「インポートの有効化」チェック・ボックスを選択した場合、LDAPユーザーのバッチ・インポートが有効になります。

      このボックスを選択しなかった場合、Big Data Discoveryでは、ログイン時に各ユーザーが同期されます。このボックスは選択解除のままにしておくことをお薦めします。

      バッチ・インポートを有効にした場合、インポート・プロセスはldap.import.methodの値に基づいています。

      バッチ・インポートを使用する際には、インポートされたユーザーとインポートされたグループの両方を同時にフィルタできないことにも注意してください。ユーザー・ベースのバッチ・インポート・モードの場合、インポートするLDAPグループをフィルタできません。グループ・ベースのバッチ・インポート・モードの場合、インポートするLDAPユーザーをフィルタできません。

    2. 「エクスポートの有効化」チェック・ボックスを選択した場合、Big Data Discovery内のユーザーへのすべての変更がLDAPシステムにエクスポートされます。

      このボックスは選択解除のままにしておくことをお薦めします。

    3. Big Data Discoveryのパスワード・ポリシーのかわりに、LDAPシステムのパスワード・ポリシーを使用するには、「LDAPパスワード・ポリシーを使用」チェック・ボックスを選択します。