目次
|
LDAP 認証属性
LDAP 認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、LDAP 認証テンプレートのデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。LDAP 認証属性は次のとおりです。
プライマリ LDAP サーバー
このフィールドは、Access Manager のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。
Access Manager に複数のドメインが配備されている場合、Access Manager と Directory Server の特定のインスタンス間の通信リンクを次の形式 (複数のエントリの場合はローカルサーバー名を先頭に付ける必要がある) で指定できます。
local_servername|server:port local_servername2|server2:port2 ...
たとえば、2 つの Access Manager のインスタンスが、異なる位置 (L1-machine1-IS および L2- machine2-IS) にあり、異なる Directory Server のインスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合、次のようになります。
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
セカンダリ LDAP サーバー
このフィールドは、Access Manager プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが稼働している場合は、Access Manager はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。
警告
Access Manager を使用する企業から離れた場所にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。
ユーザー検索の開始 DN
このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。有効な DN がすべて認識されます。検索範囲属性で OBJECT が選択される場合、DNにはプロファイルが存在するレベルの 1 つ上位のレベルを指定する必要があります。
複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリの場合
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
root ユーザーバインド DN
このフィールドは、「プライマリ LDAP サーバーおよびポート」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証モジュールをこの DN にバインドする必要があります。デフォルト値は amldapuser です。有効な DN がすべて認識されます
ログアウトする前に、パスワードが正しいことを確認します。正しくない場合はロックアウトされます。ロックアウトされた場合は、AMConfig.Properties ファイルの com.iplanet.authentication.super.user プロパティにあるスーパーユーザー DN でログインします。デフォルトでは、これは amAdmin アカウントで、完全な DN を使用しても通常のログインとなります。次に例を示します。
uid_amAdmin,ou=People,AccessManager-base
root ユーザーバインドパスワード
このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。
root ユーザーバインドパスワード (確認)
パスワードを確認します。
ユーザープロファイルの取得に使用する LDAP 属性
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。この属性の値を使用して検索を実行します。このフィールドは、使用する LDAP 属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。
認証されるユーザーの検索に使用される LDAP 属性
このフィールドは、認証を受けるユーザーの検索フィルタを設定するのに使用する属性をリストします。そのため、ユーザーはそのエントリで、複数の属性で認証を受けることができます。たとえば、このフィールドが uid、employeenumber、および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。
ユーザー検索フィルタ
このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーエントリネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。
検索範囲
このメニューは、一致するユーザープロファイルを検索する対象となる Directory Server のレベルの数を示します。検索は、ユーザー検索の開始 DN 属性で指定されたノードから開始されます。デフォルト値は SUBTREE です。次のリスト項目から 1 つ選択できます。
LDAP サーバーへの SSL アクセスを有効
このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、このチェックボックスは有効にされていないので、Directory Server へのアクセスに SSL プロトコルは使用されません。ただし、この属性が有効にされている場合は、非 SSL サーバーにバインドすることができます。
認証するユーザー DN を返す
Access Manager ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId だけを返すため、認証モジュールはローカルの Access Manager LDAP でユーザーを検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。
LDAP サーバーのチェック間隔
この属性は LDAP サーバーのフェイルバックに使用されます。LDAP プライマリサーバーが実行されているかを確認するまでの (スレッドがスリープしている) 時間を分単位で定義します。
ユーザー作成属性
LDAP サーバーが外部 LDAP サーバーとして設定されている場合、この属性は LDAP 認証モジュールで使用されます。リストには、ローカルと外部 Directory Server 間の属性のマッピングが含まれます。形式は次のとおりです。
この属性が生成されると、外部属性値が外部 Directory Server aから読み込まれて、内部 Directory Server 属性に設定されます。コア認証モジュールの「ユーザープロファイル」属性に「ダイナミックに作成」が設定されていて、ローカル Directory Server インスタンスにユーザーが存在しない場合にのみ、外部属性値は、内部属性に設定されます。新しく作成されたユーザーには、ユーザー作成属性リストに指定されているような、マッピングする外部属性値をともなう内部属性値が含まれます。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
目次 |