setldapsearch サブコマンドは、認証する LDAP ユーザー アカウントを検出するのに使用する LDAP 検索基準を指定するために使用します。
概要
- installutil setldapsearch dbset_name cq_login cq_password [ -site site | -domain domain ]
"params"
- installutil setldapsearch dbset_name cq_login cq_password [
{-allsites | -site site }
| {-alldomains | -domain domain }
] -remove
説明
installutil setldapsearch サブコマンドは、認証する LDAP ユーザー アカウントを検出するのに使用する LDAP 検索基準を指定するために使用します。このサブコマンドは、ユーザーが Rational® ClearQuest® ログイン ウィンドウに入力するユーザー名を使用します。必要に応じて、
ドメインごとかサイトごと、またはドメインとサイトの両方で 1 回実行されます。
オプションと引数
- -site site
- パラメータ設定は指定するサイトにのみ適用されることを指定します。-site site が指定されない
場合、パラメータ設定はすべてのサイトに適用されます。
- -site site -remove
- -allsites -remove
- 指定されたサブコマンドの既存の設定を削除します。
-site または -allsites を -remove と共に指定する必要があります。
特定の 1 つのサイトの設定を削除する場合は、-site を使用します。すべてのサイトの設定を削除する場合は、-allsites を
使用します。
- -domain domain
- Rational ClearQuest では、
認証に複数の LDAP 構成を使用できる環境がサポートされます。
このオプションを使用して、指示されたドメインにのみパラメータ設定を適用することを指定します。
このオプションが指定されない場合、パラメータ設定はすべてのドメインに適用されます。
- -domain domain -remove
- -alldomains -remove
- 指定されたサブコマンドの既存の設定を削除します。
-domain または -alldomains を -remove と共に指定する必要があります。
特定の 1 つのドメインの設定を削除する場合は、-domain を使用します。すべてのドメインの設定を削除する場合は、-alldomains を
使用します。
- params
- IBM® Tivoli® Directory Server Client ldapsearch 関数で使用可能な引数のサブセットからなる文字列。
-remove を指定する場合、この文字列は必要ありません。
ldapsearch 文字列の中に %login% パラメータを含ませる必要があります。これはユーザーが入力するログイン名に解決されます。
ldapsearch の構文について詳しくは、『IBM Tivoli Directory 管理ガイド』を
参照してください (http://www.ibm.com/shop/publications/order
にある IBM Publications
Center から入手できます)。
ldapsearch 関数の引数
- -b searchbase
- 検索の開始点として使用する識別名 (DN) を指定します。このオプションは必須であり、
検索範囲を定義する -s scope オプションと一緒に
指定する必要があります。この引数に、スペース、円記号 (バックスラッシュ)、二重引用符などの特殊文字が含まれる場合は、引数を単一引用符で囲んでください。
- filter
- 検索で適用されるフィルタの文字列表現。単純なフィルタは、attributetype = attributevalue のように指定できます。より複雑なフィルタの指定について詳しくは、『IBM Tivoli Directory 管理ガイド』を参照してください。
- attr
- 検索が戻すようにしたい属性。この属性は、その値がユーザーの LDAP ログイン名と一致する属性です。
- -s scope
- 検索の範囲を指定します。受け入れられる値は、次のとおりです。
- base: 基本オブジェクト
- one: 1 レベル
- sub: サブツリー
デフォルトは sub です。
例
次の例では、
installutil setldapsearch サブコマンドは、ユーザーのログイン名に対応するユーザー レコードを LDAP ディレクトリで検索するのに使用される検索文字列を指定しています。
o (organization) と
ou (organizational unit) は、検索の開始点としてどの DN を使用するのかを示します。必要とされる正確な属性は LDAP スキーマ特有であり、ここに示された
o や
ou とは異なる可能性があります。検索文字列は、
mail 属性の値がユーザーのログイン名であるようなユーザー レコードを検出することを指定しています。
installutil setldapsearch ldapreferr admin "" -domain Domain1 "-s sub -b
ou=bluepages,o=ibm.com mail=%login%"
次の例は、検索を絞り込むためのフィルタの使用方法を示します。Microsoft Active Directory では、LDAP 管理者がユーザー アカウントを無効とマークすることが許可されています。次の例では、無効にされたユーザー アカウントを検索から除外するフィルタが使用されています。
installutil setldapsearch dbset1 bob_admin bob_pw -Domain domain1 "-s sub -b
ou=my_org, dc=ldapmsft,dc=com (&(objectCategory=person)(sAMAccountName=%login%)
(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"