ディレクトリ認証設定ファイルのパラメタの一覧を表G-1に示します。
表G-1 ディレクトリ認証設定ファイルのパラメタ一覧
セクション名 | キー名 | 設定必要/任意 | デフォルト値 |
---|
SCHEMA | UID_ATTRNAME | ○ | uid |
PWD_ATTRNAME | ○ | userPassword |
LDAP | HOSTNAME | ◎ | なし |
PORTNUM | ○ | servicesファイルのldap |
NET_TIMEOUT | ○ | 120 |
SRCH_BASE | ◎ | なし |
SRCH_SCOPE | ○ | ONELEVEL |
SRCH_FILTER_PREFIX | ○ | (&(objectclass=inetOrgPerson) |
SRCH_FILTER_SUFFIX | ○ | ) |
SRCH_TIMEOUT | ○ | 60 |
(凡例)◎は設定が必要であることを,○は設定が任意であることを示す。
- 各パラメタは,アドレスサービス起動時に読み込まれます。設定を変更する場合は,アドレスサービスを再起動してください。
- 設定が必要なパラメタが設定されていない場合は,アドレスサービスの起動を中止します。
- 設定が任意のパラメタが設定されていない場合は,デフォルト値を使用します。また,不正な値が設定されている場合も,デフォルト値を使用します。
ディレクトリ認証設定ファイルのパラメタの記述形式を説明します。
(a) セクション
セクションには,[SCHEMA]と[LDAP]の2種類があります。
- [SCHEMA]
「付録G.1 ディレクトリ認証の設定」の「(1) LDAPディレクトリサーバの準備」で説明した,ユーザエントリのアドレスユーザのユーザIDを格納する属性と,パスワード属性を設定します。
- [LDAP]
LDAPディレクトリサーバへ要求するときの,各種パラメタを設定します。
(b) キーワード
キーワードには,各セクションの内容を,「キーワード=値」という形で記述します。各キーワードについての説明を次に示します。
- [SCHEMA]
- UID_ATTRNAME
- アドレスユーザのユーザIDが格納されている,LDAPディレクトリサーバの属性名を指定します。
- アドレスユーザのユーザIDを,ディレクトリサーバユーザのユーザID属性(uid)と一致させる場合は,「uid」を指定してください。
- アドレスユーザのユーザIDを,ディレクトリサーバユーザのユーザID属性(uid)とは違う属性(例:gmaxID)に格納する場合は,その属性(gmaxID)を指定してください。
- この値は,アドレスユーザとディレクトリサーバユーザを対応付けるためのLDAP検索に使われます。
- 例えば,UID_ATTRNAME=uidの場合,アドレスユーザA123456を検索するLDAP検索フィルタは次のようになります。
- (uid=A123456)
- PWD_ATTRNAME
- LDAPディレクトリサーバのユーザエントリで,パスワードが格納されている属性名を指定します。
- 例えば,パスワード属性が(userpassword)のときは,「userpassword」を指定してください。
- [LDAP]
- HOSTNAME
- LDAPディレクトリサーバのホスト名(ドメイン名),またはIPアドレスを指定してください。この項目は必ず指定してください。
- PORTNUM
- LDAPディレクトリサーバのLDAPポート番号を指定してください。
- PORTNUMが指定されていない場合は,servicesファイルのldap名称のポート番号を使用します。servicesファイルにldap名称のエントリがない場合は,アドレスサービスの起動を中止します。
- NET_TIMEOUT
- LDAPディレクトリサーバとアドレスサーバの,コネクションのネットワークタイムアウト秒数を指定してください。指定できる値の範囲は,1~1800です。SRCH_TIMEOUTよりも大きい値にしてください。クライアントとアドレスサーバのコネクションのタイムアウトが300秒であるため,300以内の数字を設定することをお勧めします。
- SRCH_BASE
- 認証時にユーザが入力したユーザIDをキーにして,ユーザエントリの識別名(DN:Distinguished Name。以降「DN」と略します)を検索します。このキーワードには,どのDNから検索を開始するのかを指定してください。この項目は必ず指定してください。
- SRCH_SCOPE
- このキーワードには,SRCH_BASEで指定したDNから,どこまで検索するのか(検索の範囲)を指定します。「BASE」,「ONELEVEL」および「SUBTREE」の三つの値のどれかを指定してください。
- 「BASE」を指定すると,SRCH_BASEで指定したDNのエントリだけを検索します。
- 「ONELEVEL」を指定すると,SRCH_BASEで指定したDNの一つ下の階層にあるDNのエントリを検索します。 SRCH_BASEで指定したDNのエントリは,検索対象ではありません。
- 「SUBTREE」を指定すると,SRCH_BASEで指定したDNのエントリと,そのDNの下にあるすべての階層のDNのエントリを検索します。
- SRCH_FILTER_PREFIX
- このキーワードには,アドレスユーザとディレクトリサーバユーザを対応付ける検索で作成されるLDAP検索フィルタの前置文字列を指定してください。
- 指定した文字列は,SCHEMAセクションのUID_ATTRNAMEを使って作成される検索フィルタの直前に連結されます。
- LDAP検索フィルタについては,マニュアル「日立ディレクトリサービス AP開発編」を参照してください。
- SRCH_FILTER_SUFFIX
- このキーワードには,アドレスユーザとディレクトリサーバユーザを対応付ける検索で作成されるLDAP検索フィルタの後置文字列を指定してください。
- 指定した文字列は,SCHEMAセクションのUID_ATTRNAMEを使って作成される検索フィルタの直後に連結されます。
- LDAP検索フィルタについては,マニュアル「日立ディレクトリサービス AP開発編」を参照してください。
- SRCH_TIMEOUT
- このキーワードには,LDAPディレクトリサーバがユーザエントリのDNを検索するのに必要とする秒数の最大値を指定してください。指定できる値の範囲は,1~999です。
(c) 記述例
ディレクトリ認証設定ファイルの記述例を次に示します。
[SCHEMA]
UID_ATTRNAME=uid
PWD_ATTRNAME=userpassword
[LDAP]
HOSTNAME=host1.abc.co.jp
PORTNUM=389
SRCH_BASE=o=abc,c=jp
SRCH_SCOPE=ONELEVEL
SRCH_FILTER_PREFIX=(&(objectclass=inetOrgPerson)
SRCH_FILTER_SUFFIX=)
SRCH_TIMEOUT=60
NET_TIMEOUT=120