一般LDAP認証プロバイダ: プロバイダ固有

このページでは、この一般LDAP認証プロバイダのプロバイダ固有の構成を定義します。汎用LDAP認証プロバイダのすべての設定を入力し、「保存」をクリックした後、WebLogic Serverにより、このプロバイダと対応するLDAPサーバー間の接続がテストされます。これにより、このプロバイダの有効な構成のみをレルムでアクティブ化することができます。

名前	説明
ホスト	LDAPサーバーのホスト名またはIPアドレス。 MBean属性: `LDAPServerMBean.Host`
ポート	LDAPサーバーのリスニング・ポートの番号。 MBean属性: `LDAPServerMBean.Port` 最小値: `1` 最大値: `65534`
プリンシパル	WebLogic ServerがLDAPサーバーとの接続に使用するLDAPユーザーの識別名(DN)。ノート: `principal`に入力する値は、LDAPサーバーでユーザーとグループを検索する権限を持つLDAP管理者である必要があります。LDAP管理者にLDAPサーバーを検索する権限がない場合は、エラー・コード50のLDAP例外が生成されます。 MBean属性: `LDAPServerMBean.Principal`
資格証明	LDAPサーバーに接続するための資格証明(通常はパスワード)。このパスワードを設定しない場合、起動時にWebLogic Serverによってパスワードが生成され、属性は初期化されて、構成はconfig.xmlファイルに保存されます。外部LDAPブラウザと組込みLDAPの管理者アカウント(cn=Admin)を使用して組込みLDAPサーバーに接続する場合は、この属性を、生成された値から変更します。 MBean属性: `LDAPServerMBean.Credential` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
SSLの有効化	LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 MBean属性: `LDAPServerMBean.SSLEnabled`
ユーザー・ベースDN	ユーザーを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。 MBean属性: `LDAPAuthenticatorMBean.UserBaseDN`
すべてのユーザーのフィルタ	属性(ユーザー・オブジェクト・クラス)を指定しない場合(つまり属性がnullまたは空の場合)、ユーザー・スキーマに基づいてデフォルト検索フィルタが作成されます。ノート: フィルタの指定にはワイルドカードを使用できます。ただし、特定のフィルタに複数のワイルドカードを使用するとLDAPサーバーのパフォーマンスに悪影響を及ぼすため、ワイルドカードの使用を制限することをお薦めします。 MBean属性: `LDAPAuthenticatorMBean.AllUsersFilter` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
名前指定によるユーザー・フィルタ	属性(ユーザー名属性およびユーザー・オブジェクト・クラス)を指定しない場合、つまり属性がnullまたは空の場合、ユーザー・スキーマに基づいてデフォルト検索フィルタが作成されます。ノート: フィルタの指定にはワイルドカードを使用できます。ただし、特定のフィルタに複数のワイルドカードを使用するとLDAPサーバーのパフォーマンスに悪影響を及ぼすため、ワイルドカードの使用を制限することをお薦めします。 MBean属性: `LDAPAuthenticatorMBean.UserFromNameFilter` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ユーザー検索スコープ	一般LDAP認証プロバイダでユーザーを検索するときのLDAPディレクトリ・ツリーの検索の深さを指定します。有効な値は、`subtree`および`onelevel`です。 MBean属性: `LDAPAuthenticatorMBean.UserSearchScope`
ユーザー名属性	グループの名前を指定するLDAPユーザー・オブジェクトの属性。 MBean属性: `LDAPAuthenticatorMBean.UserNameAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ユーザー・オブジェクト・クラス	ユーザーを格納するLDAPオブジェクト・クラス。 MBean属性: `LDAPAuthenticatorMBean.UserObjectClass` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
取得したユーザー名をプリンシパルとして使用する	LDAPサーバーから取得されるユーザー名が、サブジェクトのプリンシパルとして使用されるかどうかを指定します。 MBean属性: `LDAPAuthenticatorMBean.UseRetrievedUserNameAsPrincipal`
グループ・ベースDN	グループを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。 MBean属性: `LDAPAuthenticatorMBean.GroupBaseDN`
すべてのグループのフィルタ	基本グループ識別名(DN)内のすべてのグループを検索するためのLDAP検索フィルタ。属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。ノート: フィルタの指定にはワイルドカードを使用できます。ただし、特定のフィルタに複数のワイルドカードを使用するとLDAPサーバーのパフォーマンスに悪影響を及ぼすため、ワイルドカードの使用を制限することをお薦めします。 MBean属性: `LDAPAuthenticatorMBean.AllGroupsFilter` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
名前指定によるグループ・フィルタ	特定のグループ名を検索するためのLDAP検索フィルタ。属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。ノート: フィルタの指定にはワイルドカードを使用できます。ただし、特定のフィルタに複数のワイルドカードを使用するとLDAPサーバーのパフォーマンスに悪影響を及ぼすため、ワイルドカードの使用を制限することをお薦めします。 MBean属性: `LDAPAuthenticatorMBean.GroupFromNameFilter` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
グループ検索スコープ	グループ検索の対象とするLDAPディレクトリ・ツリーの階層を指定します。有効な値は、`subtree`および`onelevel`です。 MBean属性: `LDAPAuthenticatorMBean.GroupSearchScope`
グループ・メンバーシップ検索	ネストされたグループ内のグループ検索に制限を設けるか設けないか、またはオフかを指定します。有効な値は、`unlimited`、`limited`および`off`です。ネストされたグループ階層の最初のレベルのみを使用する構成の場合、この属性を使用してグループ検索をオフにするか、グループの検索レベルを制限すると、ユーザーによる検索のパフォーマンスを向上できます。制限付きの検索を指定する場合、「グループ・メンバーシップ検索の最大レベル」属性を指定する必要があります。制限のない検索を指定する場合、「グループ・メンバーシップ検索の最大レベル」属性は無視されます。offを指定する場合、「グループ・メンバーシップ検索の最大レベル」属性は無視されます。認証の際に「グループ・メンバーシップ・ルックアップでトークン・グループを使用する」という設定を使用した場合、1回の呼出しですべてのグループが戻され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。 MBean属性: `LDAPAuthenticatorMBean.GroupMembershipSearching`
グループ・メンバーシップ検索の最大レベル	検索できるグループ・メンバーシップのレベル数を指定します。この設定はGroupMembershipSearchingが`limited`に設定されている場合にのみ有効です。有効な値は0および正の整数です。たとえば、0を指定すると直接のグループ・メンバーシップのみを検索することを示し、正の整数を指定するとその数のレベルのみ検索することを示します。使用可能な値は次のとおりです: 0 - 直接のグループのみが検索されます。つまり、グループAのメンバーシップを検索する場合、グループAの直接のメンバーのみが検出されます。グループBがグループAのメンバーである場合、この検索ではグループBのメンバーは検出されません。任意の正の整数 - 検索するレベル数を示します。たとえば、この属性を1に設定すると、グループAのメンバーシップを検索した場合にグループAの直接のメンバーとその1つ下のレベルのメンバーが戻されます。グループBがグループAのメンバーである場合、この検索ではグループBのメンバーも検出されます。ここでグループCがグループBのメンバーであっても、グループCのメンバーはこの検索では検出されません。認証の際に「グループ・メンバーシップ・ルックアップでトークン・グループを使用する」という設定を使用した場合、1回の呼出しですべてのグループが戻され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。 MBean属性: `LDAPAuthenticatorMBean.MaxGroupMembershipSearchLevel`
重複したメンバーシップの無視	グループの追加時に重複するメンバーが無視されるかどうかを決定します。この属性はグループ・メンバーシップ内を循環します。 MBean属性: `LDAPAuthenticatorMBean.IgnoreDuplicateMembership`
静的グループ名属性	グループの名前を指定する静的LDAPグループ・オブジェクトの属性。 MBean属性: `LDAPAuthenticatorMBean.StaticGroupNameAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
静的グループ・オブジェクト・クラス	静的グループを格納するLDAPオブジェクト・クラスの名前。 MBean属性: `LDAPAuthenticatorMBean.StaticGroupObjectClass` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
静的メンバーDN属性	グループのメンバーシップの識別名(DN)を指定する静的LDAPグループ・オブジェクトの属性。 MBean属性: `LDAPAuthenticatorMBean.StaticMemberDNAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
メンバーDN指定による静的グループDNフィルタ	グループのメンバーの識別名(DN)を指定すると、そのメンバーを含む静的LDAPグループのDNを戻すLDAP検索フィルタ。属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。 MBean属性: `LDAPAuthenticatorMBean.StaticGroupDNsfromMemberDNFilter` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
動的グループ名属性	グループの名前を指定する動的LDAPグループ・オブジェクトの属性。 MBean属性: `LDAPAuthenticatorMBean.DynamicGroupNameAttribute`
動的グループ・オブジェクト・クラス	動的グループを格納するLDAPオブジェクト・クラス。 MBean属性: `LDAPAuthenticatorMBean.DynamicGroupObjectClass` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
動的メンバーURL属性	動的グループのメンバーのURLを指定する動的LDAPグループ・オブジェクトの属性。 MBean属性: `LDAPAuthenticatorMBean.DynamicMemberURLAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ユーザー動的グループDN属性	この属性が存在しない場合、WebLogic Serverは動的グループのURLを評価して、ユーザーがグループのメンバーかどうかを判断します。グループに他のグループが含まれる場合、WebLogic Serverはグループ内の下位グループ(親子関係を示す)のURLを評価します。ノート: この属性を設定した場合、「動的グループ名属性」の値は有効な値である必要があり、nullは指定できません。 MBean属性: `LDAPAuthenticatorMBean.UserDynamicGroupDNAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
接続プール・サイズ	LDAPの接続プール・サイズ。デフォルトは6です。 MBean属性: `LDAPServerMBean.ConnectionPoolSize`
接続タイムアウト	LDAPサーバーへの接続が確立されるまで待機する最大時間(秒)。この属性を0に設定した場合、最大時間の制限はありません。デフォルト設定は0です。LDAPサーバーが使用不可の場合、このデフォルト値ではWebLogic Serverの実行速度が低下する可能性があります。また、WebLogic Serverで複数のLDAP認証プロバイダが構成されている場合、1つのLDAPサーバーへの接続が失敗するとその他のLDAP認証プロバイダの使用がブロックされる可能性があります。 0以外の値(60秒など)を設定することをお薦めします。複数のホストが「ホスト」に指定されています。この値は、これらのすべてのホストの間で接続を実行する際の合計タイムアウトを設定します。個々の接続のタイムアウトを設定するには、WebLogic Serverを実行しているJVMに対して`-Dweblogic.security.providers.authentication.ldap.socketTimeout=seconds`セキュリティ・パラメータを使用します。接続タイムアウトをソケット・タイムアウトとともに指定すると、LDAP認証プロバイダに対するフェイルオーバーを構成するのに便利です。 MBean属性: `LDAPServerMBean.ConnectTimeout`
接続再試行制限	最初の接続が失敗した場合に、LDAPサーバーへの接続を試行する回数を指定します。 MBean属性: `LDAPServerMBean.ConnectionRetryLimit`
パラレル接続遅延	複数のLDAPサーバーに同時に接続を試行したときの遅延時間。この属性を0に設定すると、接続の試行がシリアライズされます。リストの最初のサーバーへの接続が試行されます。現在のホストへの接続試行が失敗した場合のみ、リストの次のエントリへの接続が試行されます。この属性を設定せず、LDAPサーバーが使用できない場合、アプリケーションが長時間ブロックされることがあります。この属性を0以上に設定すると、指定した時間が経過してから次の接続が開始されます。 MBean属性: `LDAPServerMBean.ParallelConnectDelay`
結果タイム・リミット	LDAPサーバーが結果を待機してタイムアウトになるまでの最大時間(ミリ秒)。この属性を0に設定した場合、最大時間の制限はありません。 MBean属性: `LDAPServerMBean.ResultsTimeLimit`
キープアライブの有効化	LDAP接続のタイムアウトを防止するかどうかを指定します。 MBean属性: `LDAPAuthenticatorMBean.KeepAliveEnabled`
照会先を追跡する	一般LDAP認証プロバイダ内のユーザーまたはグループの検索で、他のLDAPサーバーまたはLDAPディレクトリ内のブランチへの照会を追跡することを指定します。デフォルトでは、この属性は有効です。 MBean属性: `LDAPServerMBean.FollowReferrals`
照会先に匿名でバインドする	デフォルトでは、検索時に照会先を追跡する場合、一般LDAP認証プロバイダはLDAPサーバーへの接続に使用するものと同じDNおよびパスワードを使用します。匿名ユーザーとして接続する場合は、この属性を有効にします。 MBean属性: `LDAPServerMBean.BindAnonymouslyOnReferrals` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ログイン例外の原因を伝播	プロバイダでログイン例外の原因を伝播するかどうかを指定します。 MBean属性: `LoginExceptionPropagatorMBean.PropagateCauseForLoginException` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
キャッシュの有効化	LDAPサーバーでキャッシュを使用するかどうかを指定します。 MBean属性: `LDAPServerMBean.CacheEnabled`
キャッシュ・サイズ	LDAPサーバーで使用するキャッシュのサイズ(KB)。 MBean属性: `LDAPServerMBean.CacheSize` 最小値: `0`
キャッシュTTL	LDAPサーバーで使用するキャッシュの存続時間(秒)。 MBean属性: `LDAPServerMBean.CacheTTL` 最小値: `0`
キャッシュ統計情報の有効化	キャッシュの統計を有効にするかどうかを指定します。 MBean属性: `LDAPAuthenticatorMBean.EnableCacheStatistics`
GUID属性	セキュリティ・レルムで構成されるLDAP認証プロバイダに対応したLDAPサーバーで定義されたGUID属性の名前を指定します。 MBean属性: `LDAPAuthenticatorMBean.GuidAttribute` 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
アイデンティティ・ドメイン	アイデンティティ・ドメインの名前。 MBean属性: `IdentityDomainAuthenticatorMBean.IdentityDomain`

管理コンソール・オンライン・ヘルプ

一般LDAP認証プロバイダ: プロバイダ固有

構成オプション