EDQ login.propertiesファイル

EDQのユーザー認証は、EDQ構成領域のsecurity/login.propertiesというファイルを使用して構成します。このファイルは、'home'構成ディレクトリまたは'local'構成ディレクトリ(あるいはその両方)に存在します。両方に存在する場合、'local'ディレクトリの値が優先される形で設定がマージされます。ファイルを変更する必要がある場合は、必ず'local'ディレクトリのバージョンを編集してください。

EDQの'home'構成領域には、LDAP統合の複数のタイプに応じた設定例を含むファイルsecurity/login.properties.templateがあります。

login.propertiesファイルでは、複数のレルムを定義します。各レルムは、ユーザーから独立したストアです。ファイルはグローバル設定から始まり、次に各レルムの設定が続きます。標準のグローバル設定は次のとおりです。

realms = realm1, realm2, …
gss    = false

realmsプロパティでは、このインストールで構成するレルムのリストを定義します。名前は任意ですが、特別なレルム名'internal'は、EDQ内部ユーザー・ストアを指定します(ユーザーdnadminなど)。

'gss'設定は、拡張Kerberosスタイルの認証をオフにします。

グローバル設定の次に、レルム固有のプロパティのブロックが続きます(それぞれグローバル・リストのレルム名が接頭辞になります)。たとえば、内部レルムとLDAPレルムを使用する構成は、次のようになります。

realms 			              = internal, corpldap
gss                  = false
corpldap.realm       = EXAMPLE.COM
corpldap.ldap.server = dc1.example.com
…

これらの設定の詳細は、この後で説明します。

login.propertiesで複数のレルムを定義すると、EDQのログイン画面(WebコンソールおよびUI)に、ユーザー名とパスワードに関連付けられたレルムのドロップダウン・セレクタが表示されます。

login.propertiesでの静的グループ・マッピング

外部LDAPユーザー・ストアを使用し、EDQ内部ユーザー・ストアを使用しない場合、LDAPグループからEDQグループへのマッピングを設定しようとすると、ブートストラップ問題が発生します。これを行うには、EDQ Webコンソールを使用します(EDQ管理者ログインが必要です)。ただし、LDAPユーザーがEDQにログインするためには、LDAPグループをEDQ管理者グループにマップする必要があります。

この問題を回避するため、login.propertiesで静的グループ・マッピングを定義できます。構文は次のとおりです。

realm.xgmap = exgroup1 -> edqgroup1, exgroup2 -> edqgroup2 …

'realm'は、グローバル・レルム・リストに指定されたレルム名です。各'exgroup'は外部LDAPグループの名前で、各'edqgroup'はEDQグループの名前です。

静的マッピングは、最初の管理マッピングを設定する場合にのみ使用し、他のマッピングはEDQ Webコンソールの「外部グループ」ページで構成する必要があります。

たとえば、'EDQ-ADMINS'というLDAPグループをEDQ管理者グループにマップするには、次の行を追加します。

corpldap.xgmap = EDQ-ADMINS -> Administrators