LDAP X509 ID アサーション プロバイダ : プロバイダ固有
このページでは、この LDAP X509 ID アサーション プロバイダのプロバイダ固有の コンフィグレーションを定義します。
コンフィグレーション オプション
名前 説明 サポートされている種類 この LDAP X509 ID アサーション プロバイダでサポートされている トークンの種類。
アクティブな種類 この LDAP X509 ID アサーション プロバイダで認証に使用するトークンの種類。 同じセキュリティ レルムにコンフィグレーションされている他の ID アサーション プロバイダ でこの属性が X509 に設定されていないことを確認してください。
ユーザ フィルタの属性 [証明書マッピング] 属性で定義されるベース LDAP DN の下の LDAP オブジェクトから、ユーザの LDAP オブジェクトを選択する方法を指定します。 この設定で、証明書のサブジェクト DN から LDAP オブジェクトを検索する 方法が定義されます。
LDAP オブジェクトのクラスは person でなければなりません。この属性には、 LDAP オブジェクトが一致する必要のある属性を示す複数の文字列の配列が 含まれます。
通常この属性の値は、証明書のサブジェクト DN の 属性の値に一致する LDAP オブジェクトです。次に例を 示します。
次の構文の場合、LDAP ユーザ オブジェクトの uid 属性は サブジェクト DN 属性に一致します。
LDAPATTRNAME=$subj.SUBJECDNATTRNAME
たとえば、uid=$subj.DN となります。
このオプションは、ユーザ名を検索フィルタにマップする LDAP 認証プロバイダの [User Name Filter] オプションと非常に似て いますが、以下の点で異なります。
- このオプションは証明書のサブジェクト DN をフィルタにマップし、 LDAP 認証プロバイダは 1 つの文字列を使用する。これによって システム管理者はフィルタを詳細に管理できます。
- LDAP X509 認証プロバイダはフィルタに objectclass=person を追加し、文字列の組み合わせの 配列を使用する。
MBean 属性:
LDAPX509IdentityAsserterMBean.UserFilterAttributes
ユーザ名属性 ユーザの LDAP オブジェクトの、ユーザの名前を示す属性を 指定します。
ユーザの名前はサブジェクトに表示されます。この設定で、ユーザの 名前を検索する方法が定義されます。通常この設定は、この LDAP X509 ID アサーション プロバイダ用にコンフィグレーションされている LDAP 認証 プロバイダの [ユーザ名] の設定に一致します。
証明書属性 ユーザの LDAP オブジェクトの、ユーザの証明書を示す属性 を指定します。このオプションで、証明書の検索方法が定義 されます。有効な値は userCertificate と userCertificate;binary です。
- LDAP ブラウザを使用して LDAP ディレクトリに証明書をロードすると、 バイナリ型の属性 userCertificate が作成される。この証明書 にアクセスするには、このオプションを userCertificate に定義 します。
ldapmodify
を使用して証明書属性を作成すると、 LDAP ディレクトリに証明書データがロードされるときに userCertificate;binary が作成される。この証明書 にアクセスするには、このオプションを userCertificate;binary に定義します。MBean 属性:
LDAPX509IdentityAsserterMBean.CertificateAttribute
証明書マッピング ユーザの LDAP オブジェクトを特定するために使用するベース LDAP DN の 構築方法を指定します。この属性で、証明書のサブジェクト DN からオブジェクトを 検索する方法が定義されます。
通常この値は、LDAP 認証プロバイダの [ユーザ ベース DN] 属性と 同じです。サブジェクト DN の各フィールドをこのベース DN に含めることが できます。
たとえば、証明書のサブジェクトが CN=meyer.beasys.com, ou=fred, o=BEASYS, L=SFO, C=US で、マッピングが ou=people, ou=$subj.ou の場合、WebLogic Server は ユーザを特定するときに ou=people, ou=fred, o=BEASYS, c=US を DN として使用します。
Base64 でのデコーディングが必要 要求ヘッダ値またはクッキー値を ID アサーション プロバイダ に送信する前に Base64 でデコードするかどうかを指定します。この 設定はデフォルトでは下位互換性のために有効になっていますが、 ほとんどの ID アサーション プロバイダでは、この属性は無効化され ます。
ホスト LDAP サーバが実行されているコンピュータの ホスト名。
MBean 属性:
LDAPServerMBean.Host
ポート LDAP サーバのリスン ポートの番号。
MBean 属性:
LDAPServerMBean.Port
最小値:
1
最大値:
65534
SSL を有効化 LDAP サーバに接続するときに SSL プロトコルを使用するか どうかを指定します。
MBean 属性:
LDAPServerMBean.SSLEnabled
プリンシパル WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザの識別名 (DN)。
MBean 属性:
LDAPServerMBean.Principal
資格 LDAP サーバに接続するための資格 (通常は パスワード)。
このパスワードを設定しない場合、起動時に WebLogic Server によってパスワードが生成され、属性は初期化されて、 コンフィグレーションは config.xml ファイルに保存されます。 外部 LDAP ブラウザと組み込み LDAP の管理者アカウント (cn=Admin) を使用して組み込み LDAP サーバに接続する 場合は、この属性を、生成された値から変更します。
MBean 属性:
LDAPServerMBean.Credential
キャッシュを有効化 LDAP サーバでキャッシュを使用するかどうかを指定します。
LDAP 要求用のキャッシュです。
MBean 属性:
LDAPServerMBean.CacheEnabled
キャッシュ サイズ LDAP サーバで使用するキャッシュのサイズ (KB)。
MBean 属性:
LDAPServerMBean.CacheSize
最小値:
0
キャッシュ TTL LDAP サーバで使用するキャッシュの 生存時間 (秒)。
MBean 属性:
LDAPServerMBean.CacheTTL
最小値:
0
照会先を追跡する 関連する LDAP 認証プロバイダ内のユーザまたはグループの検索で、 他の LDAP サーバまたは LDAP ディレクトリ内のブランチ への照会を追跡することを指定します。デフォルトでは、この属性は 有効です。
MBean 属性:
LDAPServerMBean.FollowReferrals
照会先に匿名でバインドする デフォルトでは、検索時に照会先を追跡する場合、関連する LDAP 認証プロバイダは LDAP サーバへの接続に使用するものと同じ DN およびパスワードを使用します。匿名ユーザとして接続する場合は、この属性を有効にします。
結果タイム リミット LDAP サーバが結果を待機してタイムアウトになるまでの 最大時間 (ミリ秒)。この属性を 0 に設定した場合、最大 時間の制限はありません。
MBean 属性:
LDAPServerMBean.ResultsTimeLimit
接続タイムアウト LDAP サーバへの接続が確立されるまで待機する 最大時間 (秒)。この属性を 0 に設定した場合、 最大時間の制限はありません。
MBean 属性:
LDAPServerMBean.ConnectTimeout
パラレル接続遅延 複数の LDAP サーバに同時に接続を試行したときの遅延時間 (秒)。この属性を 0 に設定すると、接続の試行がシリアライズされ ます。リストの最初のサーバへの接続が試行され、そのホストへの接続 が失敗した場合のみ、リストの次のエントリへの接続が試行されます。 この属性を設定せず、LDAP サーバが使用できない場合、 アプリケーションが長時間ブロックされることがあります。この属性を 1 以上に設定すると、指定した時間が経過してから次の接続が開始 されます。
MBean 属性:
LDAPServerMBean.ParallelConnectDelay
接続再試行制限 最初の接続が失敗した場合に、LDAP サーバへの接続を試行する回数を指定します。
MBean 属性:
LDAPServerMBean.ConnectionRetryLimit