Oracle Internet Directory認証プロバイダ: プロバイダ固有
このページでは、このOracle Internet Directory認証プロバイダのプロバイダ固有の構成を定義します。
構成オプション
名前 説明 ホスト LDAPサーバーのホスト名またはIPアドレス。
MBean属性:
LDAPServerMBean.Host
ポート LDAPサーバーのリスニング・ポートの番号。
MBean属性:
LDAPServerMBean.Port
最小値:
1
最大値:
65534
プリンシパル WebLogic ServerがLDAPサーバーとの接続に使用するLDAPユーザーの識別名(DN)。
ノート:
principal
に入力する値は、Oracle Internet Directoryでユーザーとグループを検索する権限を持つLDAP管理者である必要があります。LDAP管理者にOracle Internet Directoryを検索する権限がない場合は、エラー・コード50のLDAP例外が生成されます。MBean属性:
LDAPServerMBean.Principal
資格証明 LDAPサーバーに接続するための資格証明(通常はパスワード)。
このパスワードを設定しない場合、起動時にWebLogic Serverによってパスワードが生成され、属性は初期化されて、構成はconfig.xmlファイルに保存されます。外部LDAPブラウザと組込みLDAPの管理者アカウント(cn=Admin)を使用して組込みLDAPサーバーに接続する場合は、この属性を、生成された値から変更します。
MBean属性:
LDAPServerMBean.Credential
SSLの有効化 LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。
MBean属性:
LDAPServerMBean.SSLEnabled
ユーザー・ベースDN ユーザーを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。
MBean属性:
LDAPAuthenticatorMBean.UserBaseDN
すべてのユーザーのフィルタ 基本ユーザー識別名(DN)内のすべてのユーザーを検索するためのLDAP検索フィルタ。ノート: ユーザー名属性を
cn
以外のタイプに変更した場合は、「名前指定によるユーザー・フィルタ」属性と「ユーザー名属性」属性でも同じ変更を行う必要があります。たとえば、ユーザー名属性を
uid
に変更するには、検索フィルタを(&(uid=*)(objectclass=person))
のように指定します。属性を指定しない場合、つまり属性がnullまたは空の場合、ユーザー・スキーマに基づいてデフォルト検索フィルタが作成されます。フィルタ式でのワイルドカードの使用を制限する必要があることにも注意してください。ワイルドカードは使用できますが、特定のフィルタ式で複数のワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼす場合があります。
名前指定によるユーザー・フィルタ 特定のユーザー名のユーザーを検索するためのLDAP検索フィルタ。このフィルタに指定するユーザー名属性は、「すべてのユーザーのフィルタ」属性と「ユーザー名属性」属性に指定したユーザー名属性と一致している必要があります。
たとえば、ユーザー名属性を
uid
に変更するには、検索フィルタを(&(uid=%u)(objectclass=person))
のように指定します。属性(ユーザー名属性およびユーザー・オブジェクト・クラス)を指定しない場合、つまり属性がnullまたは空の場合、ユーザー・スキーマに基づいてデフォルト検索フィルタが作成されます。フィルタ式でのワイルドカードの使用を制限する必要があることにも注意してください。ワイルドカードは使用できますが、特定のフィルタ式で複数のワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼす場合があります。
ユーザー検索スコープ LDAP認証プロバイダでユーザーを検索するときのLDAPディレクトリ・ツリーの検索の深さを指定します。
有効な値は、
subtree
およびonelevel
です。ユーザー名属性 ユーザーの名前を指定するLDAPユーザー・オブジェクト・クラスの属性。指定するユーザー名属性は、「すべてのユーザーのフィルタ」属性と「名前指定によるユーザー・フィルタ」属性に指定したユーザー名属性と一致している必要があります。
たとえば、ユーザー名属性を
cn
からuid
に変更した場合は、「すべてのユーザーのフィルタ」属性と「名前指定によるユーザー・フィルタ」属性でも同じ変更を行う必要があります。ユーザー・オブジェクト・クラス ユーザーを格納するLDAPオブジェクト・クラス。
取得したユーザー名をプリンシパルとして使用する LDAPサーバーから取得されるユーザー名が、サブジェクトのプリンシパルとして使用されるかどうかを指定します。
MBean属性:
LDAPAuthenticatorMBean.UseRetrievedUserNameAsPrincipal
ユーザー有効化属性のチェック OrclIsEnabled属性値をOracle Internet Directory LDAPサーバーからチェックするなど、ユーザーが有効になっているかどうかをチェックするかどうかを指定します。デフォルト値はfalseです。
MBean属性:
OracleInternetDirectoryAuthenticatorMBean.CheckUserEnabledAttribute
グループ・ベースDN グループを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。
MBean属性:
LDAPAuthenticatorMBean.GroupBaseDN
すべてのグループのフィルタ 基本グループ識別名(DN)内のすべてのグループを検索するためのLDAP検索フィルタ。「静的グループ・オブジェクト・クラス」属性と「静的メンバーDN属性」属性の設定に基づいて、必要に応じて静的グループ・オブジェクト・クラスを変更してください。
静的グループ・オブジェクトまたは動的グループ・オブジェクトの名前属性を変更した場合は、この検索フィルタも対応するように変更する必要があります。たとえば、「静的グループ名属性」属性に指定した名前属性が
cn
からuid
に変更された場合、このフィルタを(&(uid=*)(|(objectclass=groupofUniqueNames)(objectclass=orcldynamicgroup)))
のように指定してください。属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。
フィルタ式でのワイルドカードの使用を制限する必要があることにも注意してください。ワイルドカードは使用できますが、特定のフィルタ式で複数のワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼす場合があります。
名前指定によるグループ・フィルタ 特定のグループ名を検索するためのLDAP検索フィルタ。「静的グループ・オブジェクト・クラス」属性と「静的メンバーDN属性」属性の設定に基づいて、必要に応じて静的グループ・オブジェクト・クラスを変更してください。
静的グループ・オブジェクトまたは動的LDAPグループ・オブジェクトの名前属性を変更した場合は、このフィルタも対応するように変更する必要があります。たとえば、「動的グループ名属性」属性に指定した名前属性が
cn
からuid
に変更された場合、このフィルタを(|(&(cn=%g)(objectclass=groupofUniqueNames))(&(uid=%g)(objectclass=orcldynamicgroup)))
のように指定してください。この属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。
フィルタ式でのワイルドカードの使用を制限する必要があることにも注意してください。ワイルドカードは使用できますが、特定のフィルタ式で複数のワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼす場合があります。
グループ検索スコープ グループ検索の対象とするLDAPディレクトリ・ツリーの階層を指定します。有効な値は、
subtree
およびonelevel
です。グループ・メンバーシップ検索 ネストされたグループ内のグループ検索に制限を設けるか設けないか、またはオフかを指定します。有効な値は、
unlimited
、limited
およびoff
です。ネストされたグループ階層の最初のレベルのみを使用する構成の場合、この属性を使用してグループ検索をオフにするか、グループの検索レベルを制限すると、ユーザーによる検索のパフォーマンスを向上できます。制限付きの検索を指定する場合、「グループ・メンバーシップ検索の最大レベル」属性を指定する必要があります。制限のない検索を指定する場合、「グループ・メンバーシップ検索の最大レベル」属性は無視されます。offを指定する場合、「グループ・メンバーシップ検索の最大レベル」属性は無視されます。
認証の際に「グループ・メンバーシップ・ルックアップでトークン・グループを使用する」という設定を使用した場合、1回の呼出しですべてのグループが戻され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。
グループ・メンバーシップ検索の最大レベル 検索できるグループ・メンバーシップのレベル数を指定します。この設定はGroupMembershipSearchingが
limited
に設定されている場合にのみ有効です。有効な値は0および正の整数です。たとえば、0を指定すると直接のグループ・メンバーシップのみを検索することを示し、正の整数を指定するとその数のレベルのみ検索することを示します。使用可能な値は次のとおりです:
0 - 直接のグループのみが検索されます。つまり、グループAのメンバーシップを検索する場合、グループAの直接のメンバーのみが検出されます。グループBがグループAのメンバーである場合、この検索ではグループBのメンバーは検出されません。
任意の正の整数 - 検索するレベル数を示します。たとえば、この属性を1に設定すると、グループAのメンバーシップを検索した場合にグループAの直接のメンバーとその1つ下のレベルのメンバーが戻されます。グループBがグループAのメンバーである場合、この検索ではグループBのメンバーも検出されます。ここでグループCがグループBのメンバーであっても、グループCのメンバーはこの検索では検出されません。
認証の際に「グループ・メンバーシップ・ルックアップでトークン・グループを使用する」という設定を使用した場合、1回の呼出しですべてのグループが戻され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。
MBean属性:
LDAPAuthenticatorMBean.MaxGroupMembershipSearchLevel
重複したメンバーシップの無視 グループの追加時に重複するメンバーが無視されるかどうかを決定します。この属性はグループ・メンバーシップ内を循環します。
静的グループ名属性 グループの名前を指定する静的LDAPグループ・オブジェクトの属性。静的LDAPグループ・オブジェクトの名前属性が、たとえば
cn
からuid
に変更された場合、「すべてのグループのフィルタ」属性と「名前指定によるグループ・フィルタ」属性でもその変更を行う必要があります。静的グループ・オブジェクト・クラス 静的グループを格納するLDAPオブジェクト・クラスの名前。
静的メンバーDN属性 グループのメンバーシップの識別名(DN)を指定する静的LDAPグループ・オブジェクトの属性。
メンバーDN指定による静的グループDNフィルタ グループのメンバーの識別名(DN)を指定すると、そのメンバーを含む静的LDAPグループのDNを戻すLDAP検索フィルタ。属性を指定しない場合、つまり属性がnullまたは空の場合、グループ・スキーマに基づいてデフォルト検索フィルタが作成されます。
MBean属性:
LDAPAuthenticatorMBean.StaticGroupDNsfromMemberDNFilter
動的グループ名属性 グループの名前を指定する動的LDAPグループ・オブジェクトの属性。動的LDAPグループ・オブジェクトの名前属性が、たとえば
cn
からuid
に変更された場合、「すべてのグループのフィルタ」属性と「名前指定によるグループ・フィルタ」属性でもその変更を行う必要があります。動的グループ・オブジェクト・クラス 動的グループを格納するLDAPオブジェクト・クラス。
動的メンバーURL属性 動的グループのメンバーのURLを指定する動的LDAPグループ・オブジェクトの属性。
ユーザー動的グループDN属性 この属性が存在しない場合、WebLogic Serverは動的グループのURLを評価して、ユーザーがグループのメンバーかどうかを判断します。グループに他のグループが含まれる場合、WebLogic Serverはグループ内の下位グループ(親子関係を示す)のURLを評価します。
ノート: この属性を設定した場合、「動的グループ名属性」の値は有効な値である必要があり、nullは指定できません。
接続プール・サイズ LDAPの接続プール・サイズ。デフォルトは6です。
MBean属性:
LDAPServerMBean.ConnectionPoolSize
接続タイムアウト LDAPサーバーへの接続が確立されるまで待機する最大時間(秒)。この属性を0に設定した場合、最大時間の制限はありません。
デフォルト設定は0です。LDAPサーバーが使用不可の場合、このデフォルト値ではWebLogic Serverの実行速度が低下する可能性があります。また、WebLogic Serverで複数のLDAP認証プロバイダが構成されている場合、1つのLDAPサーバーへの接続が失敗するとその他のLDAP認証プロバイダの使用がブロックされる可能性があります。
0以外の値(60秒など)を設定することをお薦めします。
複数のホストが「ホスト」に指定されています。この値は、これらのすべてのホストの間で接続を実行する際の合計タイムアウトを設定します。個々の接続のタイムアウトを設定するには、WebLogic Serverを実行しているJVMに対して
-Dweblogic.security.providers.authentication.ldap.socketTimeout=seconds
セキュリティ・パラメータを使用します。接続タイムアウトをソケット・タイムアウトとともに指定すると、LDAP認証プロバイダに対するフェイルオーバーを構成するのに便利です。MBean属性:
LDAPServerMBean.ConnectTimeout
接続再試行制限 最初の接続が失敗した場合に、LDAPサーバーへの接続を試行する回数を指定します。
MBean属性:
LDAPServerMBean.ConnectionRetryLimit
パラレル接続遅延 複数のLDAPサーバーに同時に接続を試行したときの遅延時間。
この属性を0に設定すると、接続の試行がシリアライズされます。リストの最初のサーバーへの接続が試行されます。現在のホストへの接続試行が失敗した場合のみ、リストの次のエントリへの接続が試行されます。この属性を設定せず、LDAPサーバーが使用できない場合、アプリケーションが長時間ブロックされることがあります。この属性を0以上に設定すると、指定した時間が経過してから次の接続が開始されます。
MBean属性:
LDAPServerMBean.ParallelConnectDelay
結果タイム・リミット LDAPサーバーが結果を待機してタイムアウトになるまでの最大時間(ミリ秒)。この属性を0に設定した場合、最大時間の制限はありません。
MBean属性:
LDAPServerMBean.ResultsTimeLimit
キープアライブの有効化 LDAP接続のタイムアウトを防止するかどうかを指定します。
照会先を追跡する LDAP認証プロバイダ内のユーザーまたはグループの検索で、他のLDAPサーバーまたはLDAPディレクトリ内のブランチへの照会を追跡することを指定します。デフォルトでは、この属性は有効です。
MBean属性:
LDAPServerMBean.FollowReferrals
照会先に匿名でバインドする デフォルトでは、検索時に照会先を追跡する場合、LDAP認証プロバイダはLDAPサーバーへの接続に使用するものと同じDNおよびパスワードを使用します。匿名ユーザーとして接続する場合は、この属性を有効にします。
ログイン例外の原因を伝播 プロバイダでログイン例外の原因を伝播するかどうかを指定します。
MBean属性:
LoginExceptionPropagatorMBean.PropagateCauseForLoginException
キャッシュ統計情報の有効化 キャッシュの統計を有効にするかどうかを指定します。
キャッシュの有効化 LDAPサーバーでキャッシュを使用するかどうかを指定します。
MBean属性:
LDAPServerMBean.CacheEnabled
キャッシュ・サイズ LDAPサーバーで使用するキャッシュのサイズ(KB)。
MBean属性:
LDAPServerMBean.CacheSize
最小値:
0
キャッシュTTL LDAPサーバーで使用するキャッシュの存続時間(秒)。
MBean属性:
LDAPServerMBean.CacheTTL
最小値:
0
キャッシュ統計情報の有効化 キャッシュの統計を有効にするかどうかを指定します。
GUID属性 Oracle Internet Directory LDAPサーバーで定義されるGUID属性の名前を指定します。デフォルト値は
orclguid
です。MBean属性:
OracleInternetDirectoryAuthenticatorMBean.GuidAttribute
アイデンティティ・ドメイン アイデンティティ・ドメインの名前。