intra-mart Accel Platform 設定ファイルリファレンス 第26版 2020-08-01

LDAP認証設定ファイル

概要

LDAP認証を行うためのLDAPへの接続設定を行います

注意

intra-mart Accel Platform 2013 Winter(Felicia) までのバージョン

  • LDAP設定の内容はこのファイルを参照し、利用します。

intra-mart Accel Platform 2014 Spring(Granada) 以降のバージョン

  • LDAP設定の内容は、テナント毎に管理されます。
    このLDAP設定ファイルの内容は、テナントの作成時にテナント毎の設定のひな形として利用されます。

  • テナントの作成時、画面に表示される設定内容はこの設定ファイルをひな形として表示し、かつ、LDAP認証機能利用設定の値は強制的にfalseが設定されます。
    テナントにおいてLDAP認証を有効にする場合は、画面に表示される設定内容のLDAP認証機能利用設定の値をtrueにしてください。
    また、画面に表示される設定内容を必要に応じて、編集してください。
モジュール LDAP認証モジュール
フォーマットファイル(xsd) WEB-INF/schema/ldap-certification-config.xsd
設定場所 WEB-INF/conf/ldap-certification-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<ldap-certification-config
   xmlns="http://intra-mart.co.jp/system/security/certification/provider/ldap"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://intra-mart.co.jp/system/security/certification/provider/ldap ../schema/ldap-certification-config.xsd ">
   <enable>false</enable>
   <load-balancing>false</load-balancing>
   <attempt-on-failed-authentication>true</attempt-on-failed-authentication>
   <log>false</log>
   <ldap-servers>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldap://localhost:389/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn>
         <search-filter>sAMAccountName=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>sAMAccountName=admin,cn=User,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldap://localhost2:389/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>ou=People,dc=example,dc=com</base-dn>
         <search-filter>uid=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
      <ldap-server>
         <permit-no-password>true</permit-no-password>
         <provider-url>ldaps://localhost3:636/</provider-url>
         <ssl enable="false" type="simple"/>
         <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
         <base-dn>ou=People,dc=example,dc=com</base-dn>
         <search-filter>uid=?</search-filter>
         <search-controls>
            <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
            <connect-timeout>0</connect-timeout>
            <searching-dn>uid=admin,ou=People,dc=example,dc=com</searching-dn>
            <searching-pw>******</searching-pw>
            <count-limit>0</count-limit>
            <time-limit>0</time-limit>
         </search-controls>
      </ldap-server>
   </ldap-servers>
</ldap-certification-config>

リファレンス

LDAP認証機能利用設定

タグ名 enable
LDAP認証を利用するかどうかを設定します。

【設定項目】

<ldap-certification-config>
  <enable>false</enable>
</ldap-certification-config>

必須項目
複数設定 ×
設定値・設定する内容
false LDAP認証機能を利用しません。
true LDAP認証機能を利用します。
単位・型 真偽値 (true/false)
省略時のデフォルト値 なし
親タグ ldap-certification-config

ロードバランサ設定

タグ名 load-balancing
LDAP接続に対するロードバランスを行うかどうかを設定します。

2つ以上のLDAPサーバを利用している必要があります。

【設定項目】

<ldap-certification-config>
  <load-balancing>false</load-balancing>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false <ldap-servers>に設定されている<ldap-server>順に認証を試みます。
true <ldap-server>の開始位置をランダムに決定し、決定した位置を基準に設定した順に認証を試みます。
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ ldap-certification-config

LDAP認証失敗時の動作の設定

タグ名 attempt-on-failed-authentication
LDAP 認証失敗(ユーザID またはパスワードが不正)時の処理方法を設定します。

2つ以上のLDAPサーバを利用している必要があります。

【設定項目】

<ldap-certification-config>
  <attempt-on-failed-authentication>false</attempt-on-failed-authentication>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false 次の<ldap-server>に認証を試みません。
true 次の<ldap-server>に認証を試みます。
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ ldap-certification-config

ログ出力の設定

タグ名 log
ログをコンソールに出力するかどうかを設定します。
デバッグ用のオプションです。

【設定項目】

<ldap-certification-config>
  <log>false</log>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false ログを出力しません。
true ログを出力します。
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ ldap-certification-config

LDAP接続サーバの一覧の管理

タグ名 ldap-servers
このタグの配下に<ldap-server>を使用して、認証に利用するLDAPサーバの設定を行います。

複数設定した場合、設定順にLDAPサーバに通信を試みます。
通信できない場合は、次のLDAPサーバに通信を試みます。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
  ・・・・・
  </ldap-servers>
</ldap-certification-config>

必須項目
複数設定 ×
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし
親タグ ldap-certification-config

LDAP接続サーバの設定

タグ名 ldap-server
LDAP認証に用いるLDAPサーバの設定を行います。
<ldap-servers>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      ・・・・・
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目
複数設定 ○ (1つ以上)
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし
親タグ ldap-servers

空パスワードによる認証方法の設定

タグ名 permit-no-password
空パスワードによる認証を許可するかどうかを設定します。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <permit-no-password>false</permit-no-password>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false 空パスワードを認証失敗とみなします。
true 空パスワードでLDAPサーバに問い合わせます。
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ ldap-server

LDAPサーバURLの設定

タグ名 provider-url
LDAPサーバのURLを設定します。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <provider-url>ldap://localhost:389/</provider-url>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目
複数設定 ×
設定値・設定する内容 LDAPサーバのURL
単位・型 文字列
省略時のデフォルト値 なし
親タグ ldap-server

SSL接続(LDAPS)の設定

タグ名 ssl
SSL接続(LDAPS)を設定します。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <ssl enable="true" type="simple"/>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 属性値 enable=”false” type=”simple” を指定した場合と同様です。
親タグ ldap-server

【属性】

属性名 説明 必須 デフォルト値
enable
SSL接続の有効・無効を指定します。
  • true を設定した場合、LDAPサーバに対してSSL接続を行います。
    <provider-url>はldaps:// で始まるURLを設定する必要があります。
  • false を設定した場合、LDAPサーバに対して通常の接続を行います。
    <provider-url>はldap:// で始まるURLを設定する必要があります。
なし
type SSL接続のタイプを設定します。 × simple

コンテキストファクトリの設定

タグ名 context-factory
LDAPサーバの接続に用いるコンテキストファクトリを設定します。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <context-factory>com.sun.jndi.ldap.LdapCtxFactory</context-factory>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 コンテキストファクトリクラス名
単位・型 文字列
省略時のデフォルト値 com.sun.jndi.ldap.LdapCtxFactory
親タグ ldap-server

識別情報のベース(プリフィックス)の設定

タグ名 base-dn
識別情報のベース(プリフィックス)を設定します。
ユーザを検索するためのルートとなる識別情報です。
この識別情報をベースにその配下の情報を検索対象とします。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <base-dn>dc=ldaps,dc=intra,dc=intra-mart,dc=jp</base-dn>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目
複数設定 ×
設定値・設定する内容
識別情報のベース(プリフィックス)

【例】ou=People,dc=example,dc=com (Open LDAP)
【例】dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)
単位・型 文字列
省略時のデフォルト値 なし
親タグ ldap-server

ユーザを特定する為に一意になる検索属性の設定

タグ名 search-filter
ユーザを特定する為に一意になる検索属性(フィルタ)を設定します。
指定された検索属性の’?’の値をユーザコードに変換して検索を行います。

<search-filter> の代わりに <serch-filter>も利用できますが、<search-filter> を利用してください。

<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-filter>sAMAccountName=?</search-filter>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目
複数設定 ×
設定値・設定する内容
検索属性(フィルタ)

【例】uid=? (Open LDAP)
【例】sAMAccountName=? (Active Directory)
単位・型 文字列
省略時のデフォルト値 なし
親タグ ldap-server

LDAPサーバでユーザを検索するためのオプション設定

タグ名 search-controls
LDAPサーバでユーザを検索するためのオプションを設定します。
このタグ内に子タグを使用して、検索で使用するオプションを記述できます。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        ・・・・・
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし
親タグ ldap-server

接続タイムアウト用プロパティ名の設定

タグ名 connect-timeout-property-name
ユーザ検索の問い合わせで、接続タイムアウトを設定するプロパティ名を設定します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <connect-timeout-property-name>com.sun.jndi.ldap.connect.timeout</connect-timeout-property-name>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 なし
単位・型 数値[ミリ秒] (0 - )
省略時のデフォルト値 なし
親タグ search-controls

接続タイムアウトの設定

タグ名 connect-timeout
接続タイムアウト時間を設定します。
<connect-timeout-property-name> に com.sun.jndi.ldap.connect.timeoutを設定した場合
ミリ秒数を示す0 より大きい整数で設定し、LDAPサーバがこの値の期間中に接続を確立できないと、接続の試行は中止されます。
0 以下の整数設定した場合または設定しない場合は、TCP などのネットワークプロトコルのタイムアウト値が使用されます。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <connect-timeout>1000</connect-timeout>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 接続タイムアウト時間[ミリ秒]
単位・型 数値[ミリ秒](0 -)
省略時のデフォルト値 なし
親タグ search-controls

LDAPサーバでユーザを検索するためのユーザの設定

タグ名 searching-dn
LDAPサーバでユーザを検索するためのユーザ(DN)を設定します。
認証を行うためのユーザを検索するために用いるユーザの識別情報です。
通常は、管理権限をもったユーザ情報を設定します。

この設定は、ActiveDirectory の場合では必要です。

<searching-dn> の代わりに <serching-dn> も利用できますが、 <searching-dn> を利用してください。

<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <searching-dn>sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp</searching-dn>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
検索を行うためのユーザ情報

【例】uid=admin,ou=People,dc=example,dc=com (Open LDAP)
【例】admin@sample.com (Active Directory) ※書式は 「ユーザ@ドメイン」
【例】sAMAccountName=admin,dc=ldaps,dc=intra,dc=intra-mart,dc=jp (Active Directory)
単位・型 文字列
省略時のデフォルト値 なし
親タグ search-controls

LDAPサーバでユーザを検索するためのユーザパスワードの設定

タグ名 searching-pw
LDAPサーバでユーザを検索するためのユーザパスワードを設定します。
認証を行うためのユーザを検索するために用いるユーザのパスワードです。

この設定は、ActiveDirectory 利用時は必須です。

<searching-pw> の代わりに <serching-pw> も利用できますが、<searching-pw> を利用してください。

<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <searching-pw>xxxxxx</searching-pw>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 検索を行うためのユーザのパスワード
単位・型 文字列
省略時のデフォルト値 なし
親タグ search-controls

最大検索数の設定

タグ名 count-limit
LDAPサーバでユーザ情報の検索結果の最大数を設定します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <count-limit>0</count-limit>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 検索結果の最大数
単位・型 数値 (0 - )
省略時のデフォルト値 0
親タグ search-controls

検索時間制限の設定

タグ名 time-limit
検索を行う時間制限(ミリ秒)を設定します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <time-limit>0</time-limit>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
時間制限[ミリ秒]
0 を指定した場合は 無制限が設定されます。
単位・型 数値[ミリ秒] (0 - )
省略時のデフォルト値 0
親タグ search-controls

間接参照の設定

タグ名 deref-linf
間接参照の有無を設定します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <deref-linf>false</deref-linf>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false 間接参照なし
true 間接参照あり
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ search-controls

結果の一部がオブジェクトとして返すかどうかの設定

タグ名 returning-obj
結果の一部がオブジェクトとして返すかどうかを設定します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <returning-obj>false</returning-obj>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容
false 結果を一部をオブジェクトとして返さない。
true 結果を一部をオブジェクトとして返す。
単位・型 真偽値 (true/false)
省略時のデフォルト値 false
親タグ search-controls

結果として返却される属性の設定

タグ名 returning-attribute
結果として返される属性を設定します。
<search-controls>の子要素です。
指定あり 指定した属性のみ返します。
指定なし すべての属性を返します。
<search-controls>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <returning-attribute>false</returning-attribute>
      </search-controls>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 属性ID(複数指定可能:[,]カンマで区切る)
単位・型 文字列
省略時のデフォルト値 なし(すべての属性)
親タグ search-controls

ユーザ認証に用いるオプションの設定

タグ名 certification-options
ユーザ認証において、LDAPサーバの問い合わせに利用するオプションを設定します。
追加オプションを設定するための親タグです。
このタグの配下に<options>を使用して、追加オプションの設定を行います。
この値は、認証を行う場合のコンテキストファクトリの環境変数に設定されます。
<ldap-server>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <certification-options>
          ・・・・・
      </certification-options>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし
親タグ ldap-server

ユーザ検索または認証に用いる追加オプションの設定

タグ名 options
ユーザ検索および認証において、LDAPサーバの問い合わせに利用する追加オプションを設定します。
追加オプションを設定するための親タグです。
このタグの配下に<option>を使用して、追加オプションの設定を行います。
この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。
<search-controls>および<certification-options>の子要素です。

【設定項目】

<ldap-certification-config>
  <ldap-servers>
    <ldap-server>
      <search-controls>
        <options>
          ・・・・・
        </options>
      </search-controls>
      <certification-options>
        <options>
          ・・・・・
        </options>
      </certification-options>
    </ldap-server>
  </ldap-servers>
</ldap-certification-config>

必須項目 ×
複数設定 ×
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし
親タグ search-controls, certification-options

LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定

タグ名 option
LDAPサーバの問い合わせに利用する追加オプション詳細情報を設定します。
この値は、検索および認証を行う場合のコンテキストファクトリの環境変数に設定されます。
<options> の子要素です。

【設定項目】

<options>
  <option name="*****" value="*****"/>
</options>

必須項目 ×
複数設定
設定値・設定する内容 なし
単位・型 なし
省略時のデフォルト値 なし

【属性】

属性名 説明 必須 デフォルト値
name オプション名を設定します。 なし
value オプションの値を設定します。 なし