Lightweight Directory Access Protocol リポジトリーの構成設定

このページを使用して、オプションのフェイルオーバー・サーバーと共に Lightweight Directory Access Protocol (LDAP) リポジトリーへのセキュアなアクセスを構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」の下で、「使用可能なレルム定義」フィールドから「フェデレーテッド・リポジトリー」を選択し、「構成」をクリックします。
  3. 「関連項目」の下の「リポジトリーの管理」をクリックします。
  4. 「追加」をクリックして新規の外部リポジトリーを指定するか、事前構成されている外部リポジトリーを選択します。

フェデレーテッド・リポジトリー構成の追加または更新が完了したら、「セキュリティー」>「グローバル・セキュリティー」パネルへ移動し、「適用」をクリックして変更内容を有効にしてください。

リポジトリー ID

LDAP リポジトリーに対する固有 ID を指定します。 この ID はセル内のリポジトリー (LDAP1 など) を一意に識別します。

ディレクトリー・タイプ

接続する LDAP サーバーのタイプを指定します。

ドロップダウン・リストを展開して、LDAP ディレクトリー・タイプのリストを表示します。

プライマリー・ホスト名

プライマリー LDAP サーバーのホスト名を指定します。このホスト名は IP アドレスか、ドメイン・ネーム・サービス (DNS) 名のいずれかです。

ポート

LDAP サーバー・ポートを指定します。

デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

データ型: 整数
デフォルト: 389
範囲: 389 (Secure Sockets Layer (SSL) 接続でない場合) 636 (Secure Sockets Layer (SSL) 接続の場合)
フェイルオーバー・ホスト名

フェイルオーバー LDAP サーバーのホスト名を指定します。

プライマリー・ディレクトリー・サーバーが使用不可になった際に使用する、 セカンダリー・ディレクトリー・サーバーを指定できます。セカンダリー・ディレクトリー・サーバーに切り替えた後で、 LDAP リポジトリーは、15 分ごとにプライマリー・ディレクトリー・サーバーへの再接続を試みます。

ポート

フェイルオーバー LDAP サーバーのポートを指定します。

デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

データ型: 整数
範囲: 389 (Secure Sockets Layer (SSL) 接続でない場合) 636 (Secure Sockets Layer (SSL) 接続の場合)
他の LDAP サーバーへの参照のサポート

LDAP サーバーによって検出された参照がどのように処理されるかを指定します。

参照は、クライアント要求を別の LDAP サーバーに転送するときに 使用されるエンティティーです。参照には、他のオブジェクトの名前と位置が入っています。 参照は、クライアントが要求した情報が、別のロケーション (おそらく、別のサーバーまたは複数のサーバー) にあることを示すために、サーバーによって送信されます。デフォルト値は ignore です。

デフォルト: ignore
範囲:
ignore
参照は無視されます。
follow
参照は自動的に行われます。
バインド識別名

アプリケーション・サーバーが LDAP リポジトリーにバインドする際に使用する識別名 (DN) を指定します。

名前を指定しない場合、アプリケーション・サーバーは匿名でバインドされます。 ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。

バインド・パスワード

アプリケーション・サーバーが LDAP リポジトリーにバインドする際に使用するパスワードを指定します。

ログイン・プロパティー

アプリケーション・サーバーにログインするために使用するプロパティー名を指定します。

このフィールドには、セミコロン (;) で区切られた複数のログイン・プロパティーが入ります。 例えば、uid;mail のようになります。ログインの際に、 すべてのログイン・プロパティーが検索されます。複数のエントリーが検出された場合、またはエントリーが検出されない場合は、 例外がスローされます。例えば、 ログイン・プロパティーを uid;mail、ログイン ID を Bob と指定すると、 検索フィルターは uid=Bob または mail=Bob を検索します。検索で単一のエントリーが 戻される場合は、認証は先に進みます。そうでない場合は、例外がスローされます。

証明書マッピング

X.509 証明書を LDAP ディレクトリー にマップする際、EXACT_DN と CERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。

証明書フィルター

LDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 フィルターは、クライアント証明書内の属性を LDAP リポジトリー内のエントリーにマップするために使用されます。

実行時に複数の LDAP エントリーがフィルターの指定に一致すると、結果があいまい一致となるので認証は失敗します。 このフィルターの構文または構造は以下のとおりです。

LDAP attribute=${Client certificate attribute}

例えば、uid=${SubjectCN} のようにします。

フィルター仕様の左辺は LDAP 属性で、これは LDAP サーバーが構成時に使用するスキーマにより異なります。 フィルター仕様の右辺は、クライアント証明書にあるパブリック属性の 1 つです。 右辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。 フィルター仕様の右辺には、以下の証明書属性値を使用できます。ストリングの大/小文字の区別は重要です
  • ${UniqueKey}
  • ${PublicKey}
  • ${PublicKey}
  • ${Issuer}
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectCN}
  • ${Version}
SSL 通信を必要とする

LDAP サーバーに対してセキュア・ソケット通信を使用可能にするかどうかを指定します。

使用可能にすると、LDAP に対する Secure Sockets Layer (SSL) の設定値が指定されている場合には、その設定値が使用されます。

中央管理対象

SSL 構成の選択が、Java™ Naming and Directory Interface (JNDI) プラットフ ォームのアウトバウンド・トポロジー表示をベースにすることを指定します。

集中管理された構成は SSL 構成を保守するために 1 つのロケーションをサポートし、複数の構成文書にわたって SSL 構成を広げることはありません。

デフォルト: 使用可能
範囲: 使用可能または使用不可
特定 SSL 別名の使用

LDAP アウトバウンド SSL 通信に使用する SSL 構成別名を指定します。

このオプションは、JNDI プラットフォームの中央管理構成をオーバーライドします。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク


ファイル名: uwim_ldapreposettings.html