LDAP認証設定ファイル¶

項目

概要
リファレンス

概要 ¶

LDAP認証を行うためのLDAPへの接続設定を行います

注意

intra-mart Accel Platform 2013 Winter(Felicia) までのバージョン

LDAP設定の内容はこのファイルを参照し、利用します。

intra-mart Accel Platform 2014 Spring(Granada) 以降のバージョン

LDAP設定の内容は、テナント毎に管理されます。

このLDAP設定ファイルの内容は、テナントの作成時にテナント毎の設定のひな形として利用されます。
テナントの作成時、画面に表示される設定内容はこの設定ファイルをひな形として表示し、かつ、LDAP認証機能利用設定の値は強制的にfalseが設定されます。

テナントにおいてLDAP認証を有効にする場合は、画面に表示される設定内容のLDAP認証機能利用設定の値をtrueにしてください。

また、画面に表示される設定内容を必要に応じて、編集してください。

モジュール	LDAP認証モジュール
フォーマットファイル(xsd)	WEB-INF/schema/ldap-certification-config.xsd
設定場所	WEB-INF/conf/ldap-certification-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<ldap-certification-config
   xmlns="http://intra-mart.co.jp/system/security/certification/provider/ldap"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://intra-mart.co.jp/system/security/certification/provider/ldap ../schema/ldap-certification-config.xsd ">
   <enable>false</enable>
   <load-balancing>false</load-balancing>
   <attempt-on-failed-authentication>true</attempt-on-failed-authentication>
   <log>false</log>
   <ldap-servers>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldap://localhost:389/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn>
         <search-filter>sAMAccountName=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>sAMAccountName=admin,cn=User,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldap://localhost2:389/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>ou=People,dc=example,dc=com</base-dn>
         <search-filter>uid=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldaps://localhost3:636/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>ou=People,dc=example,dc=com</base-dn>
         <search-filter>uid=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
   </ldap-servers>
</ldap-certification-config>

リファレンス ¶

LDAP認証機能利用設定 ¶

タグ名 enable

LDAP認証を利用するかどうかを設定します。

【設定項目】
<ldap-certification-config>
  <enable>false</enable>
</ldap-certification-config>
必須項目 ○

複数設定 ×

設定値・設定する内容

false LDAP認証機能を利用しません。

true LDAP認証機能を利用します。

単位・型真偽値 (true/false)

省略時のデフォルト値なし

親タグ ldap-certification-config

ロードバランサ設定 ¶

タグ名 load-balancing

LDAP接続に対するロードバランスを行うかどうかを設定します。

２つ以上のLDAPサーバを利用している必要があります。

【設定項目】
<ldap-certification-config>
  <load-balancing>false</load-balancing>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false <ldap-servers>に設定されている<ldap-server>順に認証を試みます。

true <ldap-server>の開始位置をランダムに決定し、決定した位置を基準に設定した順に認証を試みます。

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ ldap-certification-config

LDAP認証失敗時の動作の設定 ¶

タグ名 attempt-on-failed-authentication

LDAP 認証失敗（ユーザID またはパスワードが不正）時の処理方法を設定します。

２つ以上のLDAPサーバを利用している必要があります。

【設定項目】
<ldap-certification-config>
  <attempt-on-failed-authentication>false</attempt-on-failed-authentication>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false 次の<ldap-server>に認証を試みません。

true 次の<ldap-server>に認証を試みます。

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ ldap-certification-config

ログ出力の設定 ¶

タグ名 log

ログをコンソールに出力するかどうかを設定します。

デバッグ用のオプションです。

【設定項目】
<ldap-certification-config>
  <log>false</log>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false ログを出力しません。

true ログを出力します。

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ ldap-certification-config

LDAP接続サーバの一覧の管理 ¶

タグ名 ldap-servers

このタグの配下に<ldap-server>を使用して、認証に利用するLDAPサーバの設定を行います。

複数設定した場合、設定順にLDAPサーバに通信を試みます。

通信できない場合は、次のLDAPサーバに通信を試みます。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
  ・・・・・
  </ldap-servers>
</ldap-certification-config>
必須項目 ○

複数設定 ×

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

親タグ ldap-certification-config

LDAP接続サーバの設定 ¶

タグ名 ldap-server

LDAP認証に用いるLDAPサーバの設定を行います。

<ldap-servers>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      ・・・・・
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ○

複数設定 ○ （1つ以上）

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

親タグ ldap-servers

空パスワードによる認証方法の設定 ¶

タグ名 permit-no-password

空パスワードによる認証を許可するかどうかを設定します。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <permit-no-password>false</permit-no-password>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false 空パスワードを認証失敗とみなします。

true 空パスワードでLDAPサーバに問い合わせます。

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ ldap-server

LDAPサーバURLの設定 ¶

タグ名 provider-url

LDAPサーバのURLを設定します。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <provider-url>ldap://localhost:389/</provider-url>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ○

複数設定 ×

設定値・設定する内容 LDAPサーバのURL

単位・型文字列

省略時のデフォルト値なし

親タグ ldap-server

SSL接続(LDAPS)の設定 ¶

タグ名 ssl

SSL接続(LDAPS)を設定します。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <ssl enable="true" type="simple"/>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値属性値 enable=”false” type=”simple” を指定した場合と同様です。

親タグ ldap-server

【属性】

属性名説明必須デフォルト値

enable

SSL接続の有効・無効を指定します。

true を設定した場合、LDAPサーバに対してSSL接続を行います。

<provider-url>はldaps:// で始まるURLを設定する必要があります。

false を設定した場合、LDAPサーバに対して通常の接続を行います。

<provider-url>はldap:// で始まるURLを設定する必要があります。

○ なし

type SSL接続のタイプを設定します。 × simple

コンテキストファクトリの設定 ¶

タグ名 context-factory

LDAPサーバの接続に用いるコンテキストファクトリを設定します。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容コンテキストファクトリクラス名

単位・型文字列

省略時のデフォルト値 com.sun.jndi.ldap.LdapCtxFactory

親タグ ldap-server

識別情報のベース（プリフィックス）の設定 ¶

タグ名 base-dn

識別情報のベース（プリフィックス）を設定します。

ユーザを検索するためのルートとなる識別情報です。

この識別情報をベースにその配下の情報を検索対象とします。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ○

複数設定 ×

設定値・設定する内容

識別情報のベース（プリフィックス）

【例】ou=People,dc=example,dc=com (Open LDAP)

【例】dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)

単位・型文字列

省略時のデフォルト値なし

親タグ ldap-server

ユーザを特定する為に一意になる検索属性の設定 ¶

タグ名 search-filter

ユーザを特定する為に一意になる検索属性（フィルタ）を設定します。

指定された検索属性の’?’の値をユーザコードに変換して検索を行います。

<search-filter> の代わりに <serch-filter>も利用できますが、<search-filter> を利用してください。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-filter>sAMAccountName=?</search-filter>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ○

複数設定 ×

設定値・設定する内容

検索属性（フィルタ）

【例】uid=? (Open LDAP)

【例】sAMAccountName=? (Active Directory)

単位・型文字列

省略時のデフォルト値なし

親タグ ldap-server

LDAPサーバでユーザを検索するためのオプション設定 ¶

タグ名 search-controls

LDAPサーバでユーザを検索するためのオプションを設定します。

このタグ内に子タグを使用して、検索で使用するオプションを記述できます。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        ・・・・・
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

親タグ ldap-server

接続タイムアウト用プロパティ名の設定 ¶

タグ名 connect-timeout-property-name

ユーザ検索の問い合わせで、接続タイムアウトを設定するプロパティ名を設定します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容なし

単位・型数値[ミリ秒] (0 - )

省略時のデフォルト値なし

親タグ search-controls

接続タイムアウトの設定 ¶

タグ名 connect-timeout

接続タイムアウト時間を設定します。

<connect-timeout-property-name> に com.sun.jndi.ldap.connect.timeoutを設定した場合

ミリ秒数を示す0 より大きい整数で設定し、LDAPサーバがこの値の期間中に接続を確立できないと、接続の試行は中止されます。

0 以下の整数設定した場合または設定しない場合は、TCP などのネットワークプロトコルのタイムアウト値が使用されます。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <connect-timeout>1000</connect-timeout>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容接続タイムアウト時間[ミリ秒]

単位・型数値[ミリ秒]（0 -）

省略時のデフォルト値なし

親タグ search-controls

LDAPサーバでユーザを検索するためのユーザの設定 ¶

タグ名 searching-dn

LDAPサーバでユーザを検索するためのユーザ(DN)を設定します。

認証を行うためのユーザを検索するために用いるユーザの識別情報です。

通常は、管理権限をもったユーザ情報を設定します。

この設定は、ActiveDirectory の場合では必要です。

<searching-dn> の代わりに <serching-dn> も利用できますが、 <searching-dn> を利用してください。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <searching-dn>sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

検索を行うためのユーザ情報

【例】uid=admin,ou=People,dc=example,dc=com (Open LDAP)

【例】admin@sample.com (Active Directory) ※書式は「ユーザ@ドメイン」

【例】sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)

単位・型文字列

省略時のデフォルト値なし

親タグ search-controls

LDAPサーバでユーザを検索するためのユーザパスワードの設定 ¶

タグ名 searching-pw

LDAPサーバでユーザを検索するためのユーザパスワードを設定します。

認証を行うためのユーザを検索するために用いるユーザのパスワードです。

この設定は、ActiveDirectory 利用時は必須です。

<searching-pw> の代わりに <serching-pw> も利用できますが、<searching-pw> を利用してください。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <searching-pw>xxxxxx</searching-pw>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容検索を行うためのユーザのパスワード

単位・型文字列

省略時のデフォルト値なし

親タグ search-controls

最大検索数の設定 ¶

タグ名 count-limit

LDAPサーバでユーザ情報の検索結果の最大数を設定します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <count-limit>0</count-limit>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容検索結果の最大数

単位・型数値 (0 - )

省略時のデフォルト値 0

親タグ search-controls

検索時間制限の設定 ¶

タグ名 time-limit

検索を行う時間制限（ミリ秒）を設定します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <time-limit>0</time-limit>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

時間制限[ミリ秒]

0 を指定した場合は無制限が設定されます。

単位・型数値[ミリ秒] (0 - )

省略時のデフォルト値 0

親タグ search-controls

間接参照の設定 ¶

タグ名 deref-linf

間接参照の有無を設定します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <deref-linf>false</deref-linf>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false 間接参照なし

true 間接参照あり

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ search-controls

結果の一部がオブジェクトとして返すかどうかの設定 ¶

タグ名 returning-obj

結果の一部がオブジェクトとして返すかどうかを設定します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <returning-obj>false</returning-obj>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容

false 結果を一部をオブジェクトとして返さない。

true 結果を一部をオブジェクトとして返す。

単位・型真偽値 (true/false)

省略時のデフォルト値 false

親タグ search-controls

結果として返却される属性の設定 ¶

タグ名 returning-attribute

結果として返される属性を設定します。

<search-controls>の子要素です。

指定あり指定した属性のみ返します。

指定なしすべての属性を返します。

<search-controls>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <returning-attribute>false</returning-attribute>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容属性ID（複数指定可能：[,]カンマで区切る）

単位・型文字列

省略時のデフォルト値なし（すべての属性）

親タグ search-controls

ユーザ認証に用いるオプションの設定 ¶

タグ名 certification-options

ユーザ認証において、LDAPサーバの問い合わせに利用するオプションを設定します。

追加オプションを設定するための親タグです。

このタグの配下に<options>を使用して、追加オプションの設定を行います。

この値は、認証を行う場合のコンテキストファクトリの環境変数に設定されます。

<ldap-server>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <certification-options>
          ・・・・・
      </certification-options>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

親タグ ldap-server

ユーザ検索または認証に用いる追加オプションの設定 ¶

タグ名 options

ユーザ検索および認証において、LDAPサーバの問い合わせに利用する追加オプションを設定します。

追加オプションを設定するための親タグです。

このタグの配下に<option>を使用して、追加オプションの設定を行います。

この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。

<search-controls>および<certification-options>の子要素です。

【設定項目】
<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <options>
          ・・・・・
        </options>
      </search-controls>
      <certification-options>
        <options>
          ・・・・・
        </options>
      </certification-options>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>
必須項目 ×

複数設定 ×

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

親タグ search-controls, certification-options

LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定 ¶

タグ名 option

LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定します。

この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。

<options> の子要素です。

【設定項目】
<options>
  <option name="*****" value="*****"/>
</options>
必須項目 ×

複数設定 ○

設定値・設定する内容なし

単位・型なし

省略時のデフォルト値なし

【属性】

属性名説明必須デフォルト値

name オプション名を設定します。 ○ なし

value オプションの値を設定します。 ○ なし

目次

LDAP認証設定ファイル¶

概要 ¶

リファレンス ¶

LDAP認証機能利用設定 ¶

ロードバランサ設定 ¶

LDAP認証失敗時の動作の設定 ¶

ログ出力の設定 ¶

LDAP接続サーバの一覧の管理 ¶

LDAP接続サーバの設定 ¶

空パスワードによる認証方法の設定 ¶

LDAPサーバURLの設定 ¶

SSL接続(LDAPS)の設定 ¶

コンテキストファクトリの設定 ¶

識別情報のベース（プリフィックス）の設定 ¶

ユーザを特定する為に一意になる検索属性の設定 ¶

LDAPサーバでユーザを検索するためのオプション設定 ¶

接続タイムアウト用プロパティ名の設定 ¶

接続タイムアウトの設定 ¶

LDAPサーバでユーザを検索するためのユーザの設定 ¶

LDAPサーバでユーザを検索するためのユーザパスワードの設定 ¶

最大検索数の設定 ¶

検索時間制限の設定 ¶

間接参照の設定 ¶

結果の一部がオブジェクトとして返すかどうかの設定 ¶

結果として返却される属性の設定 ¶

ユーザ認証に用いるオプションの設定 ¶

ユーザ検索または認証に用いる追加オプションの設定 ¶

LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定 ¶

目次

必須項目	○
複数設定	×
設定値・設定する内容	なし
単位・型	なし
省略時のデフォルト値	なし
親タグ	ldap-certification-config

必須項目	○
複数設定	○ （1つ以上）
設定値・設定する内容	なし
単位・型	なし
省略時のデフォルト値	なし
親タグ	ldap-servers

属性名	説明	必須	デフォルト値
enable	SSL接続の有効・無効を指定します。 true を設定した場合、LDAPサーバに対してSSL接続を行います。 <provider-url>はldaps:// で始まるURLを設定する必要があります。 false を設定した場合、LDAPサーバに対して通常の接続を行います。 <provider-url>はldap:// で始まるURLを設定する必要があります。	○	なし
type	SSL接続のタイプを設定します。	×	simple

指定あり	指定した属性のみ返します。
指定なし	すべての属性を返します。

属性名	説明	必須	デフォルト値
name	オプション名を設定します。	○	なし
value	オプションの値を設定します。	○	なし