ご使用の LDAP サーバーが SSL を介した LDAP (LDAPS) をサポートしている場合は、Build Forge の LDAP ドメイン項目でも LDAPS を使用するように構成することができます。
デフォルトでは、厳格な SSL が構成されます。
厳格な SSL では、サーバー認証が必要になります。
- Build Forge で LDAP ドメイン項目を作成します。
- 「プロトコル」プロパティーを LDAPS に設定します。
これにより、LDAPS の暗号化専用方式が有効になります。
- 「ホスト」を、ご使用の LDAP サーバーの完全修飾ドメイン・ネームおよび SSL ポートに設定します。
厳格なセキュア LDAP のデフォルトとして定義されているのは、ポート 636 です。
例えば、myldap.mycompany.com:636 などです。
- LDAP サーバーから署名者証明書を取得し、それを Build Forge のトラストストアに追加します。
で、アウトバウンド LDAP は次の設定を使用するようにデフォルトで構成されています。
- SSL パネル: デフォルト JSSE アウトバウンド SSL
- 鍵ストア・パネル: デフォルト JSSE トラストストア。
このトラストストアは、デフォルトで
<bfinstall>/keystore/buildForgeTrustStore.p12 を使用するように設定されています。
署名者証明書をここに置きます。
- Build Forge を再始動します。
- と進み、ご使用のセキュア LDAP 構成を選択します。
- 「接続のテスト」をクリックします。
注: Build Forge では、デフォルトで厳格な LDAPS SSL が構成されます。
厳格な構成では、サーバー証明書の検証が必要です。
厳格な LDAP を使用しない場合は、次のようにします。
- JAVA_OPTS 環境変数で、Tomcat のシステム・プロパティー-Dcom.buildforge.services.server.ldap.strict=false を設定します。
Tomcat のスクリプトはこの変数を読み取り、指定されたすべてのシステム・プロパティーを Tomcat プロセスに適用します。
- Build Forge を再始動します。
この構成では、LDAP のサーバー証明書を Build Forge のトラストストアに追加する必要はありません。
ただし、この構成は、SSL プロトコル設計の脆弱な実装です。
Build Forge は、LDAP サーバーとの通信中に LDAP サーバーの ID を検査しません。