10.7 ldap.properties設定ファイルリファレンス
ldap.propertiesファイルには,ディレクトリサービスと通信し,それに対するLDAPクエリーを作成する場合の設定が保存されています。このファイルは次の場所にあります。
-
Windows:%NNM_SHARED_CONF%\ldap.properties
-
UNIX:$NNM_SHARED_CONF/ldap.properties
ldap.propertiesファイルでは,次の規則が適用されます。
-
行をコメントにするには,その行の先頭をコメント記号(#)にします。
-
特殊記号については,次のルールが適用されます。
-
円記号(\),コンマ(,),セミコロン(;),プラス記号(+),大なり記号(<),小なり記号(>)を指定する場合は,円記号でエスケープします。(例: \\ や \+)
-
半角スペースを先頭または最終文字として指定する場合は,半角スペースを円記号(\)でエスケープします。
-
シャープ記号(#)を先頭文字として指定する場合は,円記号(\)でエスケープします。
- 参考
-
ldap.propertiesファイルを編集したら,次のコマンドを実行してNNMiにLDAP設定を再読み込みさせます。
nnmldap.ovpl -reload
-
次の表に,ldap.propertiesファイルのパラメータの説明を示します。
|
パラメータ |
説明 |
|---|---|
|
java.naming.provider.url |
ディレクトリサービスにアクセスするときのURLを指定します。 URLは,プロトコル(ldap)のあとにディレクトリサービスの完全修飾ホスト名が続き,任意でさらにポート番号が続く形式で指定します。 例: java.naming.provider.url=ldap://ldap.example.com:389/ ポート番号を省略すると,次のデフォルト値が適用されます。
複数のディレクトリサービスのURLを指定すると,NNMiは可能な限り最初のディレクトリサービスを使用します。そのディレクトリサービスにアクセスできない場合,NNMiはリスト内の次のディレクトリサービスにクエリーを実行し,以降同様に対処します。各URLは1つのスペース文字で区切ります。 例: java.naming.provider.url=ldap://ldap1.example.com/ ldap://ldap2.example.com/ このパラメータを設定すると,NNMiとディレクトリサービス間のLDAP通信が有効になります。LDAP通信を無効にするには,このパラメータをコメントにしてからファイルを保存します。これによってNNMiは,ldap.propertiesファイルの設定を無視します。 |
|
java.naming.security.protocol |
接続プロトコル指定します。
詳細については,「8.8 ディレクトリサービスへのSSL接続を設定する」を参照してください。 |
|
bindDN |
匿名アクセスを許可しない(Active Directoryなどの)ディレクトリサービスの場合は,そのディレクトリサービスにアクセスするユーザー名を指定します。このユーザー名のパスワードはldap.propertiesファイルに平文で保存されるため,ディレクトリサービスへの読み取り専用アクセス権を持つユーザー名を選択してください。 例: bindDN=region1\\john.doe@example.com |
|
bindCredential |
bindDNが設定されている場合は,そのbindDNによって識別されるユーザー名のパスワードを指定します。 例: bindCredential=PasswordForJohnDoe |
|
baseCtxDN |
ディレクトリサーバードメインの中でユーザーレコードを保存する部分を識別します。形式は,ディレクトリサービスの属性名と値のコンマ区切りリストです。 例:
詳細については,「10.4.4 ユーザー識別」を参照してください。 |
|
baseFilter |
NNMiにサインインするユーザー名の形式を指定します。形式は,ディレクトリサービスのユーザー名属性の名前と,入力したユーザーサインイン名をディレクトリサービス内の名前の形式に関連づける文字列で構成されます。ユーザー名文字列には,式{0}(サインインで入力されたユーザー名を示す)と,ユーザー名のディレクトリサービス形式を照合するために必要なほかの文字が含まれます。
詳細については,「10.4.4 ユーザー識別」を参照してください。 |
|
defaultRole |
任意で指定。LDAPに従ってNNMiにサインインするディレクトリサービスユーザーすべてに適用されるデフォルトロールを指定します。このパラメータの値は,(NNMiデータベースまたはディレクトリサービスでの)ユーザーグループマッピングの保存場所に関係なく適用されます。 定義済みのNNMiユーザーグループにユーザーが直接設定されている場合,NNMiは,デフォルトロールおよび割り当て済みユーザーグループの権限のスーパーセットをユーザーに付与します。 有効な値は,admin,level2,level1,またはguestです。 この名前は,定義済みNNMiユーザーグループ名の一意の名前です。定義済みNNMiユーザーグループ名の一意の名前については,「10.4.5 ユーザーグループ識別」の「表10-4」を参照してください。
コメントにするか,または省略すると,NNMiはデフォルト値を使用しません。 |
|
rolesCtxDN |
ディレクトリサーバードメインの中でグループレコードを保存する部分を指定します。形式は,ディレクトリサービスの属性名と値のコンマ区切りリストです。 例:
ほかのディレクトリサービス(Active Directory以外)では,検索速度を高めるため,NNMiユーザーグループを含むディレクトリサービスグループを1つ以上指定できます。グループ名にパターンがある場合は,ワイルドカードを指定できます。例えば,ディレクトリサービスにUSERS-NNMi-administratorsやUSERS-NNMi-level1Operatorsなどの名前のグループが含まれる場合は,次のような検索コンテキストを使用できます。 rolesCtxDN=cn=USERS-NNMi-*,ou=Groups,o=example.com このパラメータを設定すると,LDAPを介したNNMiユーザーグループ割り当てのディレクトリサービスのクエリーが有効になります。LDAPを介したNNMiユーザーグループ割り当てのディレクトリサービスのクエリーを無効にするには,このパラメータをコメントにしてからファイルを保存します。NNMiは,ldap.propertiesファイルにある残りのユーザーグループ関連の値を無視します。 詳細については,「10.4.5 ユーザーグループ識別」を参照してください。 |
|
roleFilter |
ディレクトリサービスのグループ定義でグループメンバー名の形式を指定します。形式は,ユーザーIDのディレクトリサービスグループ属性の名前と,入力したユーザーサインイン名をディレクトリサービス内のユーザーIDの形式に関連づける文字列で構成されます。ユーザー名文字列には,次の式の1つと,グループメンバー名のディレクトリサービス形式を照合するために必要なほかの文字が含まれています。
詳細については,「10.4.5 ユーザーグループ識別」を参照してください。 |
|
uidAttributeID |
ディレクトリサービスユーザーIDを保存するグループ属性を指定します。 例: uidAttributeID=member 詳細については,「10.4.5 ユーザーグループ識別」を参照してください。 |
|
userRoleFilterList |
任意で指定。NNMiコンソールで関連ユーザーにインシデントを割り当てることができるNNMiユーザーグループを制限します。このリストのユーザーグループは,LDAPによって認証されるディレクトリサービスユーザー名だけに適用されます。このパラメータでは,NNMiユーザーグループがNNMiコンソールで割り当てられて,NNMiデータベースに保存されるときに使用できない機能が提供されます。1つ以上の定義済みNNMiユーザーグループ名の一意の名前をセミコロンで区切ったリストという形式です。定義済みのNNMiユーザーグループの一意の名前については,「10.4.5 ユーザーグループ識別」の「表10-4」を参照してください。
|
|
searchTimeLimit |
任意で指定。タイムアウト値をミリ秒単位で指定します。デフォルト値は10000(10秒)です。NNMiユーザーサインイン中にタイムアウトになる場合は,この値を増やします。
|
注 初期のldap.propertiesファイルには,この表のリストにあるパラメータの一部が含まれていない場合があります。必要なパラメータを追加してください。
- 〈この節の構成〉