Active Directory 認証プロバイダ : プロバイダ 固有
このページでは、この Active Directory 認証プロバイダのプロバイダ固有の コンフィグレーションを定義します。
コンフィグレーション オプション
名前 説明 グループ ベース DN ユーザが所属する動的グループの識別名 (DN) を指定する LDAP ユーザ オブジェクトの属性。
ユーザ名属性 グループの名前を指定する LDAP ユーザ オブジェクトの属性。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.UserNameAttribute
結果タイム リミット LDAP サーバが結果を待機してタイムアウトになるまでの 最大時間 (ミリ秒)。この属性を 0 に設定した場合、最大 時間の制限はありません。
MBean 属性:
LDAPServerMBean.ResultsTimeLimit
動的メンバー URL 属性 動的グループのメンバーの URL を指定する動的 LDAP グループ オブジェクトの属性。
パラレル接続遅延 複数の LDAP サーバに同時に接続を試行したときの遅延時間 (秒)。この属性を 0 に設定すると、接続の試行がシリアライズされ ます。リストの最初のサーバへの接続が試行され、そのホストへの接続 が失敗した場合のみ、リストの次のエントリへの接続が試行されます。 この属性を設定せず、LDAP サーバが使用できない場合、 アプリケーションが長時間ブロックされることがあります。この属性を 1 以上に設定すると、指定した時間が経過してから次の接続が開始 されます。
MBean 属性:
LDAPServerMBean.ParallelConnectDelay
静的グループ オブジェクト クラス 静的グループを格納する LDAP オブジェクト クラスの名前。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.StaticGroupObjectClass
重複したメンバシップを無視 グループの追加時に重複するメンバーが無視されるかどうかを決定します。この属性はグループ メンバシップ内を循環します。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.IgnoreDuplicateMembership
照会先を追跡する Active Directory 認証プロバイダ内のユーザまたはグループの 検索で、他の LDAP サーバまたは LDAP ディレクトリ内のブランチ への照会を追跡することを指定します。デフォルトでは、この属性は 有効です。
MBean 属性:
LDAPServerMBean.FollowReferrals
ポート Active Directory LDAP サーバのリスン ポートの 番号。
MBean 属性:
LDAPServerMBean.Port
最小値:
1
最大値:
65534
ユーザ ベース DN ユーザを格納する LDAP ディレクトリ内のツリーの基本識別名 (DN)。
ログイン例外の原因の伝播 プロバイダでログイン例外の原因を伝播するかどうかを指定します。
MBean 属性:
LoginExceptionPropagatorMBean.PropagateCauseForLoginException
暗号化された資格 [プリンシパル] 属性で定義された LDAP ユーザを認証するための資格 (通常は パスワード)。
MBean 属性:
LDAPServerMBean.CredentialEncrypted
グループ検索スコープ グループ検索の対象とする LDAP ディレクトリ ツリーの階層を指定します。有効な値は、
subtree
およびonelevel
です。MBean 属性:
LDAPAuthenticatorMBean.GroupSearchScope
ユーザ オブジェクト クラス ユーザを格納する LDAP オブジェクト クラス。
MBean 属性:
LDAPAuthenticatorMBean.UserObjectClass
すべてのグループのフィルタ 基本グループ識別名 (DN) 内のすべてのグループを検索するための LDAP 検索フィルタ。属性を指定しない場合、つまり属性が null または空の場合、グループ スキーマに基づいてデフォルト検索フィルタが作成されます。
MBean 属性:
LDAPAuthenticatorMBean.AllGroupsFilter
接続再試行制限 最初の接続が失敗した場合に、LDAP サーバへの接続を試行する回数を指定します。
MBean 属性:
LDAPServerMBean.ConnectionRetryLimit
SSL を有効化 Active Directory LDAP サーバに接続するときに SSL プロトコルを使用するか どうかを指定します。
MBean 属性:
LDAPServerMBean.SSLEnabled
ユーザ動的グループ DN 属性 この属性が存在しない場合、WebLogic Server は動的 グループの URL を評価して、ユーザがグループのメンバーかどうか を判断します。グループに他のグループが含まれる場合、WebLogic Server はグループ内の下位グループ (親子関係を示す) の URL を評価します。
MBean 属性:
LDAPAuthenticatorMBean.UserDynamicGroupDNAttribute
静的グループ名属性 グループの名前を指定する静的 LDAP グループ オブジェクトの属性。
動的グループ オブジェクト クラス 動的グループを格納する LDAP オブジェクト クラス。
接続タイムアウト LDAP サーバへの接続が確立されるまで待機する 最大時間 (秒)。この属性を 0 に設定した場合、 最大時間の制限はありません。
MBean 属性:
LDAPServerMBean.ConnectTimeout
プリンシパル WebLogic Server が Active Directory LDAP サーバ との接続に使用する Active Directory LDAP ユーザの識別名 (DN)。
MBean 属性:
LDAPServerMBean.Principal
ユーザ検索スコープ Active Directory 認証プロバイダでユーザを検索するときの LDAP ディレクトリ ツリーの検索の深さを指定します。
有効な値は
subtree
とonelevel
です。MBean 属性:
LDAPAuthenticatorMBean.UserSearchScope
動的グループ名属性 グループの名前を指定する動的 LDAP グループ オブジェクトの属性。
取得したユーザ名をプリンシパルとして使用する LDAP サーバから取得されるユーザ名が、サブジェクトのプリンシパルとして使用されるかどうかを指定します。
MBean 属性:
LDAPAuthenticatorMBean.UseRetrievedUserNameAsPrincipal
ホスト Active Directory LDAP サーバのホスト名または IP アドレス。
MBean 属性:
LDAPServerMBean.Host
資格 Active Directory LDAP サーバに接続するための資格 (通常は パスワード)。
このパスワードを設定しない場合、起動時に WebLogic Server によってパスワードが生成され、属性は初期化されて、 コンフィグレーションは config.xml ファイルに保存されます。 外部 LDAP ブラウザと組み込み LDAP の管理者アカウント (cn=Admin) を使用して組み込み LDAP サーバに接続する 場合は、この属性を、生成された値から変更します。
MBean 属性:
LDAPServerMBean.Credential
照会先に匿名でバインドする デフォルトでは、検索時に照会先を追跡する場合、Active Directory 認証プロバイダは LDAP サーバへの接続に使用するものと同じ DN および パスワードを使用します。匿名ユーザとして接続する場合は、この属性を有効 にします。
メンバー DN 指定による静的グループ DN フィルタ グループのメンバーの識別名 (DN) を指定すると、そのメンバーを含む静的 LDAP グループの DN を返す LDAP 検索フィルタ。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.StaticGroupDNsfromMemberDNFilter
キャッシュ TTL Active Directory LDAP サーバで使用するキャッシュの 生存時間 (秒)。
MBean 属性:
LDAPServerMBean.CacheTTL
最小値:
0
静的メンバー DN 属性 グループのメンバシップの識別名 (DN) を指定する静的 LDAP グループ オブジェクトの属性。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.StaticMemberDNAttribute
すべてのユーザのフィルタ 属性 (ユーザ オブジェクト クラス) を指定しない場合 (つまり属性が null または空の場合)、ユーザ スキーマに基づいてデフォルト検索フィルタ が作成されます。
MBean 属性:
LDAPAuthenticatorMBean.AllUsersFilter
グループ メンバシップ ルックアップでトークン グループを使用する 標準の再帰的なグループ メンバーシップ ルックアップ アルゴリズムではなく、 Active Directory の TokenGroups 属性ルックアップ アルゴリズムを使用 するかどうかを示します。
この属性を使用するには、Active Directory サーバをネイティブ モードで実行し、Active Directory にセキュリティ グループが実装されている必要があります。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.UseTokenGroupsForGroupMembershipLookup
キャッシュ サイズ Active Directory LDAP サーバで使用するキャッシュのサイズ (KB)。
MBean 属性:
LDAPServerMBean.CacheSize
最小値:
0
名前指定によるユーザ フィルタ 属性 (ユーザ名属性およびユーザ オブジェクト クラス) を指定しない場合 (つまり属性が null または空の場合)、ユーザ スキーマに基づいてデフォルト 検索フィルタが作成されます。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.UserFromNameFilter
キャッシュを有効化 Active Directory LDAP サーバでキャッシュを使用するかどうかを 指定します。
LDAP 要求用のキャッシュです。
MBean 属性:
LDAPServerMBean.CacheEnabled
名前指定によるグループ フィルタ 特定のグループ名を検索するための LDAP 検索フィルタ。属性を指定しない場合、つまり属性が null または空の場合、グループ スキーマに基づいてデフォルト検索フィルタが作成されます。
MBean 属性:
ActiveDirectoryAuthenticatorMBean.GroupFromNameFilter
グループ メンバシップ検索 ネストされたグループ内のグループ検索に制限を設けるか設けないかを指定します。有効な値は、
unlimited
およびlimited
です。ネストされたグループの最初のレベルのみを使用するコンフィグレーションの場合、この属性を使ってグループの最初のレベルのみを検索するように制限すると、ユーザによる検索のパフォーマンスを向上できます。制限付きの検索を指定する場合、[グループ メンバシップ検索の最大レベル] 属性を指定する必要があります。制限のない検索を指定する場合、[グループ メンバシップ検索の最大レベル] 属性は無視されます。
認証の際に [グループ メンバシップ ルックアップでトークン グループを使用する] という設定を使用した場合、1 回の呼び出しですべてのグループが返され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。
グループ メンバシップ検索の最大レベル 検索できるグループ メンバシップのレベル数を指定します。この設定は GroupMembershipSearching が
limited
に設定されている場合にのみ有効です。有効な値は 0 および正の整数です。たとえば、0 を指定すると直接のグループ メンバシップのみを検索することを示し、正の整数を指定するとその数のレベルだけ検索することを示します。値の種類は次のとおりです。
0 - 直接のグループのみが検索されます。つまり、グループ A のメンバシップを検索する場合、グループ A の直接のメンバーのみが検出されます。グループ B がグループ A のメンバーである場合、この検索ではグループ B のメンバーは検出されません。
任意の正の整数 - 検索するレベル数を示します。たとえば、この属性を 1 に設定すると、グループ A のメンバシップを検索した場合にグループ A の直接のメンバーとその 1 つ下のレベルのメンバーが返されます。グループ B がグループ A のメンバーである場合、この検索ではグループ B のメンバーも検出されます。ここでグループ C がグループ B のメンバーであっても、グループ C のメンバーはこの検索では検出されません。
認証の際に [グループ メンバシップ ルックアップでトークン グループを使用する] という設定を使用した場合、1 回の呼び出しですべてのグループが返され、再帰制限や深さの制限は適用されません。これらは管理操作で適用されます。
MBean 属性:
LDAPAuthenticatorMBean.MaxGroupMembershipSearchLevel