拡張 LDAP ユーザー・レジストリー設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに置かれている場合に、 このページを使用して拡張 LDAP ユーザー・レジストリー設定を構成します。

この管理ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  3. 「追加プロパティー」の下の、 「拡張 LDAP ユーザー・レジストリー設定」をクリックします。

すべてのユーザーおよびグループ関連フィルターのデフォルト値は、 該当するフィールドですでに指定されています。 ユーザーの要件によっては、これらの値を変更できます。 これらのデフォルト値は、「スタンドアロン LDAP レジストリーの設定」パネルで選択された LDAP サーバーのタイプに基づいています。 このタイプが変更された場合 (例えば、Netscape から Secureway への変更)、デフォルトのフィルターは自動的に変更されます。デフォルトのフィルター値が変更されると、 LDAP サーバー・タイプは、カスタム・フィルターが使用されていることを示す「カスタム」に 変更になります。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。

「構成」タブ

ユーザー・フィルター

ユーザーのユーザー・レジストリーを検索する LDAP ユーザー・フィルターを指定します。

このオプションは一般に、ユーザーへのセキュリティー役割の割り当てのために使用され、 ディレクトリー・サービスでのユーザーの検索に使用するプロパティーを指定します。 例えば、ユーザー ID を基にして ユーザーを検索するには、(&(uid=%v)(objectclass=inetOrgPerson)) と指定します。 この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

データ型: ストリング
グループ・フィルター

グループのユーザー・レジストリーを検索する LDAP グループ・フィルターを指定します。

このオプションは一般に、グループへのセキュリティー役割の割り当てのために使用され、ディレクトリー・サービスで のグループの検索に使用するプロパティーを指定します。 この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

データ型: ストリング
ユーザー ID マップ

LDAP エントリーにユーザーのショート・ネームをマップする LDAP フィルターを指定します。

ユーザーが表示されるときにユーザーを表す情報部分を指定します。 例えば、オブジェクト・クラス = inetOrgPerson タイプのエントリーを ID 別に表示する場合は、inetOrgPerson:uid を指定します。 このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス: プロパティー」の複数のペアが入ります。

データ型: ストリング
グループ ID マップ

LDAP エントリーにグループのショート・ネームをマップする LDAP フィルターを指定します。

グループが表示されるときにグループを表す情報部分を指定します。 例えば、グループを名前別に表示するには、*:cn を指定します。 アスタリスク (*) はワイルドカード文字であり、 この場合、あらゆるオブジェクト・クラスを検索します。このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。

データ型: ストリング
グループ・メンバー ID マップ

ユーザーとグループの関係を識別する LDAP フィルターを指定します。

ディレクトリー・タイプ SecureWay® および Domino® の場合、このフィールドには、 セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。 「オブジェクト・クラス:プロパティー」のペアでは、オブジェクト・クラス値はグループ・フィルターで定義される オブジェクト・クラスと同じであり、プロパティーはメンバー属性です。オブジェクト・クラス値が グループ・フィルターのオブジェクト・クラスに一致しない場合、グループがセキュリティー役割に マップされると許可が失敗することがあります。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

IBM® Directory Server、Sun ONE、および Active Directory の場合、このフィールドには、セミコロン (;) で区切られた複数の「グループ属性:メンバー属性」ペアが入ります。 これらのペアは、所定ユーザーが所有するすべてのグループ属性を列挙して、 ユーザーのグループ・メンバーシップを検索する際に使用します。例えば、属性ペア memberof:member は Active Directory が使用し、ibm-allGroup:member は IBM Directory Server が使用します。 また、このフィールドでは、オブジェクト・クラスのどのプロパティーが、 そのオブジェクト・クラスで表されるグループに属するメンバーのリストを保管するかを指定します。サポートされる LDAP ディレクトリー・サーバーについて詳しくは、『サポートされるディレクトリー・サービス』を参照してください。

データ型: ストリング
Kerberos ユーザー・フィルター

Kerberos ユーザー・フィルター値を指定します。この値は、Kerberos が、優先認証メカニズムの 1 つとして構成され、アクティブである場合に変更できます。

データ型: ストリング
証明書マップ・モード

X.509 証明書を LDAP ディレクトリー にマップする際、EXACT_DN と CERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。

データ型: ストリング
証明書フィルター

LDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 フィルターは、クライアント証明書内の属性を LDAP レジストリー内のエントリーにマップする際に使用されます。

実行時に複数の LDAP エントリーがフィルターの指定に一致すると、 結果があいまい一致となるため、認証は失敗します。 このフィルターの構文または 構造は、(&(uid=${SubjectCN})(objectclass=inetOrgPerson)) です。 フィルター仕様の左辺は LDAP 属性で、これは LDAP サーバーが構成時に使用するスキーマにより異なります。 フィルター仕様の右辺は、クライアント証明書にあるパブリック属性の 1 つです。 右辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。 フィルター仕様の右辺には、以下の証明書属性値を使用できます。ストリングの大/小文字の区別は重要です
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    ここで <xx> は、発行者識別名の任意の有効なコンポーネントを表す文字で置き換えられます。例えば、発行者の共通名として ${IssuerCN} を使用できます。

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    ここで <xx> は、サブジェクト識別名の任意の有効なコンポーネントを表す文字で置き換えられます。例えば、サブジェクト共通名として ${SubjectCN} を使用できます。

  • ${Version}
データ型: ストリング



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
スタンドアロン LDAP レジストリー設定


ファイル名: usec_advldap.html