LDAP認証設定ファイル¶
項目
- 概要
- リファレンス
- LDAP認証機能利用設定
- ロードバランサ設定
- LDAP認証失敗時の動作の設定
- ログ出力の設定
- LDAP接続サーバの一覧の管理
- LDAP接続サーバの設定
- 空パスワードによる認証方法の設定
- LDAPサーバURLの設定
- SSL接続(LDAPS)の設定
- コンテキストファクトリの設定
- 識別情報のベース(プリフィックス)の設定
- ユーザを特定する為に一意になる検索属性の設定
- LDAPサーバでユーザを検索するためのオプション設定
- 接続タイムアウト用プロパティ名の設定
- 接続タイムアウトの設定
- LDAPサーバでユーザを検索するためのユーザの設定
- LDAPサーバでユーザを検索するためのユーザパスワードの設定
- 最大検索数の設定
- 検索時間制限の設定
- 間接参照の設定
- 結果の一部がオブジェクトとして返すかどうかの設定
- 結果として返却される属性の設定
- ユーザ認証に用いるオプションの設定
- ユーザ検索または認証に用いる追加オプションの設定
- LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定
概要¶
LDAP認証を行うためのLDAPへの接続設定を行います注意
intra-mart Accel Platform 2013 Winter(Felicia) までのバージョン
- LDAP設定の内容はこのファイルを参照し、利用します。
intra-mart Accel Platform 2014 Spring(Granada) 以降のバージョン
LDAP設定の内容は、テナント毎に管理されます。このLDAP設定ファイルの内容は、テナントの作成時にテナント毎の設定のひな形として利用されます。 テナントの作成時、画面に表示される設定内容はこの設定ファイルをひな形として表示し、かつ、LDAP認証機能利用設定の値は強制的にfalseが設定されます。テナントにおいてLDAP認証を有効にする場合は、画面に表示される設定内容のLDAP認証機能利用設定の値をtrueにしてください。また、画面に表示される設定内容を必要に応じて、編集してください。
モジュール LDAP認証モジュール フォーマットファイル(xsd) WEB-INF/schema/ldap-certification-config.xsd 設定場所 WEB-INF/conf/ldap-certification-config.xml <?xml version="1.0" encoding="UTF-8"?> <ldap-certification-config xmlns="http://intra-mart.co.jp/system/security/certification/provider/ldap" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://intra-mart.co.jp/system/security/certification/provider/ldap ../schema/ldap-certification-config.xsd "> <enable>false</enable> <load-balancing>false</load-balancing> <attempt-on-failed-authentication>true</attempt-on-failed-authentication> <log>false</log> <ldap-servers> <ldap-server> <permit-no-password>true</permit-no-password> <provider-url>ldap://localhost:389/</provider-url> <ssl enable="false" type="simple"/> <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory> <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn> <search-filter>sAMAccountName=?</search-filter> <search-controls> <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name> <connect-timeout>0</connect-timeout> <searching-dn>sAMAccountName=admin,cn=User,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn> <searching-pw>******</searching-pw> <count-limit>0</count-limit> <time-limit>0</time-limit> </search-controls> </ldap-server> <ldap-server> <permit-no-password>true</permit-no-password> <provider-url>ldap://localhost2:389/</provider-url> <ssl enable="false" type="simple"/> <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory> <base-dn>ou=People,dc=example,dc=com</base-dn> <search-filter>uid=?</search-filter> <search-controls> <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name> <connect-timeout>0</connect-timeout> <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn> <searching-pw>******</searching-pw> <count-limit>0</count-limit> <time-limit>0</time-limit> </search-controls> </ldap-server> <ldap-server> <permit-no-password>true</permit-no-password> <provider-url>ldaps://localhost3:636/</provider-url> <ssl enable="false" type="simple"/> <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory> <base-dn>ou=People,dc=example,dc=com</base-dn> <search-filter>uid=?</search-filter> <search-controls> <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name> <connect-timeout>0</connect-timeout> <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn> <searching-pw>******</searching-pw> <count-limit>0</count-limit> <time-limit>0</time-limit> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
リファレンス¶
LDAP認証機能利用設定¶
タグ名 enable LDAP認証を利用するかどうかを設定します。【設定項目】
<ldap-certification-config> <enable>false</enable> </ldap-certification-config>
必須項目 ○ 複数設定 × 設定値・設定する内容
false LDAP認証機能を利用しません。 true LDAP認証機能を利用します。 単位・型 真偽値 (true/false) 省略時のデフォルト値 なし 親タグ ldap-certification-config
ロードバランサ設定¶
タグ名 load-balancing LDAP接続に対するロードバランスを行うかどうかを設定します。2つ以上のLDAPサーバを利用している必要があります。【設定項目】
<ldap-certification-config> <load-balancing>false</load-balancing> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false <ldap-servers>に設定されている<ldap-server>順に認証を試みます。 true <ldap-server>の開始位置をランダムに決定し、決定した位置を基準に設定した順に認証を試みます。 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ ldap-certification-config
LDAP認証失敗時の動作の設定¶
タグ名 attempt-on-failed-authentication LDAP 認証失敗(ユーザID またはパスワードが不正)時の処理方法を設定します。2つ以上のLDAPサーバを利用している必要があります。【設定項目】
<ldap-certification-config> <attempt-on-failed-authentication>false</attempt-on-failed-authentication> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false 次の<ldap-server>に認証を試みません。 true 次の<ldap-server>に認証を試みます。 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ ldap-certification-config
ログ出力の設定¶
タグ名 log ログをコンソールに出力するかどうかを設定します。デバッグ用のオプションです。【設定項目】
<ldap-certification-config> <log>false</log> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false ログを出力しません。 true ログを出力します。 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ ldap-certification-config
LDAP接続サーバの一覧の管理¶
タグ名 ldap-servers このタグの配下に<ldap-server>を使用して、認証に利用するLDAPサーバの設定を行います。複数設定した場合、設定順にLDAPサーバに通信を試みます。通信できない場合は、次のLDAPサーバに通信を試みます。【設定項目】
<ldap-certification-config> <ldap-servers> ・・・・・ </ldap-servers> </ldap-certification-config>
必須項目 ○ 複数設定 × 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 親タグ ldap-certification-config
LDAP接続サーバの設定¶
タグ名 ldap-server LDAP認証に用いるLDAPサーバの設定を行います。<ldap-servers>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> ・・・・・ </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 ○ 複数設定 ○ (1つ以上) 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 親タグ ldap-servers
空パスワードによる認証方法の設定¶
タグ名 permit-no-password 空パスワードによる認証を許可するかどうかを設定します。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <permit-no-password>false</permit-no-password> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false 空パスワードを認証失敗とみなします。 true 空パスワードでLDAPサーバに問い合わせます。 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ ldap-server
LDAPサーバURLの設定¶
タグ名 provider-url LDAPサーバのURLを設定します。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <provider-url>ldap://localhost:389/</provider-url> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 ○ 複数設定 × 設定値・設定する内容 LDAPサーバのURL 単位・型 文字列 省略時のデフォルト値 なし 親タグ ldap-server
SSL接続(LDAPS)の設定¶
タグ名 ssl SSL接続(LDAPS)を設定します。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <ssl enable="true" type="simple"/> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 属性値 enable=”false” type=”simple” を指定した場合と同様です。 親タグ ldap-server 【属性】
属性名 説明 必須 デフォルト値 enable SSL接続の有効・無効を指定します。
true を設定した場合、LDAPサーバに対してSSL接続を行います。<provider-url>はldaps:// で始まるURLを設定する必要があります。 false を設定した場合、LDAPサーバに対して通常の接続を行います。<provider-url>はldap:// で始まるURLを設定する必要があります。○ なし type SSL接続のタイプを設定します。 × simple
コンテキストファクトリの設定¶
タグ名 context-factory LDAPサーバの接続に用いるコンテキストファクトリを設定します。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 コンテキストファクトリクラス名 単位・型 文字列 省略時のデフォルト値 com.sun.jndi.ldap.LdapCtxFactory 親タグ ldap-server
識別情報のベース(プリフィックス)の設定¶
タグ名 base-dn 識別情報のベース(プリフィックス)を設定します。ユーザを検索するためのルートとなる識別情報です。この識別情報をベースにその配下の情報を検索対象とします。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 ○ 複数設定 × 設定値・設定する内容 識別情報のベース(プリフィックス)【例】ou=People,dc=example,dc=com (Open LDAP)【例】dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)単位・型 文字列 省略時のデフォルト値 なし 親タグ ldap-server
ユーザを特定する為に一意になる検索属性の設定¶
タグ名 search-filter ユーザを特定する為に一意になる検索属性(フィルタ)を設定します。指定された検索属性の’?’の値をユーザコードに変換して検索を行います。<search-filter> の代わりに <serch-filter>も利用できますが、<search-filter> を利用してください。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-filter>sAMAccountName=?</search-filter> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 ○ 複数設定 × 設定値・設定する内容 検索属性(フィルタ)【例】uid=? (Open LDAP)【例】sAMAccountName=? (Active Directory)単位・型 文字列 省略時のデフォルト値 なし 親タグ ldap-server
LDAPサーバでユーザを検索するためのオプション設定¶
タグ名 search-controls LDAPサーバでユーザを検索するためのオプションを設定します。このタグ内に子タグを使用して、検索で使用するオプションを記述できます。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> ・・・・・ </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 親タグ ldap-server
接続タイムアウト用プロパティ名の設定¶
タグ名 connect-timeout-property-name ユーザ検索の問い合わせで、接続タイムアウトを設定するプロパティ名を設定します。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 なし 単位・型 数値[ミリ秒] (0 - ) 省略時のデフォルト値 なし 親タグ search-controls
接続タイムアウトの設定¶
タグ名 connect-timeout 接続タイムアウト時間を設定します。<connect-timeout-property-name> に com.sun.jndi.ldap.connect.timeoutを設定した場合ミリ秒数を示す0 より大きい整数で設定し、LDAPサーバがこの値の期間中に接続を確立できないと、接続の試行は中止されます。0 以下の整数設定した場合または設定しない場合は、TCP などのネットワークプロトコルのタイムアウト値が使用されます。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <connect-timeout>1000</connect-timeout> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 接続タイムアウト時間[ミリ秒] 単位・型 数値[ミリ秒](0 -) 省略時のデフォルト値 なし 親タグ search-controls
LDAPサーバでユーザを検索するためのユーザの設定¶
タグ名 searching-dn LDAPサーバでユーザを検索するためのユーザ(DN)を設定します。認証を行うためのユーザを検索するために用いるユーザの識別情報です。通常は、管理権限をもったユーザ情報を設定します。この設定は、ActiveDirectory の場合では必要です。<searching-dn> の代わりに <serching-dn> も利用できますが、 <searching-dn> を利用してください。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <searching-dn>sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 検索を行うためのユーザ情報【例】uid=admin,ou=People,dc=example,dc=com (Open LDAP)【例】admin@sample.com (Active Directory) ※書式は 「ユーザ@ドメイン」【例】sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)単位・型 文字列 省略時のデフォルト値 なし 親タグ search-controls
LDAPサーバでユーザを検索するためのユーザパスワードの設定¶
タグ名 searching-pw LDAPサーバでユーザを検索するためのユーザパスワードを設定します。認証を行うためのユーザを検索するために用いるユーザのパスワードです。この設定は、ActiveDirectory 利用時は必須です。<searching-pw> の代わりに <serching-pw> も利用できますが、<searching-pw> を利用してください。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <searching-pw>xxxxxx</searching-pw> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 検索を行うためのユーザのパスワード 単位・型 文字列 省略時のデフォルト値 なし 親タグ search-controls
最大検索数の設定¶
タグ名 count-limit LDAPサーバでユーザ情報の検索結果の最大数を設定します。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <count-limit>0</count-limit> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 検索結果の最大数 単位・型 数値 (0 - ) 省略時のデフォルト値 0 親タグ search-controls
検索時間制限の設定¶
タグ名 time-limit 検索を行う時間制限(ミリ秒)を設定します。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <time-limit>0</time-limit> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 時間制限[ミリ秒]0 を指定した場合は 無制限が設定されます。単位・型 数値[ミリ秒] (0 - ) 省略時のデフォルト値 0 親タグ search-controls
間接参照の設定¶
タグ名 deref-linf 間接参照の有無を設定します。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <deref-linf>false</deref-linf> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false 間接参照なし true 間接参照あり 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ search-controls
結果の一部がオブジェクトとして返すかどうかの設定¶
タグ名 returning-obj 結果の一部がオブジェクトとして返すかどうかを設定します。<search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <returning-obj>false</returning-obj> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容
false 結果を一部をオブジェクトとして返さない。 true 結果を一部をオブジェクトとして返す。 単位・型 真偽値 (true/false) 省略時のデフォルト値 false 親タグ search-controls
結果として返却される属性の設定¶
タグ名 returning-attribute 結果として返される属性を設定します。<search-controls>の子要素です。
指定あり 指定した属性のみ返します。 指定なし すべての属性を返します。 <search-controls>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <returning-attribute>false</returning-attribute> </search-controls> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 属性ID(複数指定可能:[,]カンマで区切る) 単位・型 文字列 省略時のデフォルト値 なし(すべての属性) 親タグ search-controls
ユーザ認証に用いるオプションの設定¶
タグ名 certification-options ユーザ認証において、LDAPサーバの問い合わせに利用するオプションを設定します。追加オプションを設定するための親タグです。このタグの配下に<options>を使用して、追加オプションの設定を行います。この値は、認証を行う場合のコンテキストファクトリの環境変数に設定されます。<ldap-server>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <certification-options> ・・・・・ </certification-options> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 親タグ ldap-server
ユーザ検索または認証に用いる追加オプションの設定¶
タグ名 options ユーザ検索および認証において、LDAPサーバの問い合わせに利用する追加オプションを設定します。追加オプションを設定するための親タグです。このタグの配下に<option>を使用して、追加オプションの設定を行います。この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。<search-controls>および<certification-options>の子要素です。【設定項目】
<ldap-certification-config> <ldap-servers> <ldap-server> <search-controls> <options> ・・・・・ </options> </search-controls> <certification-options> <options> ・・・・・ </options> </certification-options> </ldap-server> </ldap-servers> </ldap-certification-config>
必須項目 × 複数設定 × 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 親タグ search-controls, certification-options
LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定¶
タグ名 option LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定します。この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。<options> の子要素です。【設定項目】
<options> <option name="*****" value="*****"/> </options>
必須項目 × 複数設定 ○ 設定値・設定する内容 なし 単位・型 なし 省略時のデフォルト値 なし 【属性】
属性名 説明 必須 デフォルト値 name オプション名を設定します。 ○ なし value オプションの値を設定します。 ○ なし