3.5.6 認証システム設定
認証システムを設定する操作について説明します。
(1) 認証システムを作成する
認証システムを作成する手順について説明します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます。
-
[認証システム作成]ボタンをクリックします。
[新規LDAP認証システム]画面が表示されます。
-
[基本]タブの設定をします。
サーバタイプに「LDAPv3」を指定した場合
サーバタイプに「Active Directory」を指定した場合
次の項目を指定します。
表3‒33 [基本]タブの設定項目 項目
説明
認証システム名(日本語)※1
認証システム名として,識別可能な任意の文字列を入力します。
ここで入力した値は,日本語と中国語の画面で表示されます。
-
入力できる文字数は256文字以内です。
認証システム名(英語)※1
認証システム名として,識別可能な任意の文字列を入力します。
ここで入力した値は,英語の画面で表示されます。
-
256文字までの半角英数字と記号を入力できます。
サーバタイプ
使用するディレクトリ・サーバの種類を選択します。
-
LDAPv3(汎用):Active Directory以外のLDAPv3互換ディレクトリ・サーバ
-
Active Directory:Active Directoryサーバ
初期値は「LDAPv3(汎用)」です。
サーバタイプを変更すると,「認証システム名(日本語/中国語)」,「認証システム名(英語)」,「サーバタイプ」以外の項目の設定値は,リセットされて初期値に戻ります。
変更の際には,変更を確認するダイアログが表示されます。[OK]ボタンをクリックすると,サーバタイプの変更が反映されます。
基本DN※2
ディレクトリ・サーバのDITで,ユーザ探索の基点とするDNを指定します。一般的にはルートとなるDNを指定しますが,探索範囲を制限したい場合は,探索する範囲の基点とするDNを指定します。
「サーバタイプ」が「Active Directory」の場合,ディレクトリ・サーバ上のドメインを表すDNを指定することはできません。OUまたはCNを含むDNを指定してください。
ドメイン名
「サーバタイプ」が「Active Directory」の場合に,Active Directoryのドメイン名(ドット区切り)を指定します。
ユーザID属性
DIT上のユーザエントリで,ユーザIDを保持する属性を指定します。
「サーバタイプ」に「LDAPv3(汎用)」を指定した場合,初期値は「uid」です。ご利用のシステム設計に合わせて変更してください。
「サーバタイプ」に「Active Directory」を指定した場合,ユーザID属性は「sAMAccountName」としてください。
ユーザ検索フィルタ
ディレクトリ・サーバのDITで,ユーザを探索する際の条件を指定します。
「サーバタイプ」に「LDAPv3(汎用)」を指定した場合,ユーザ検索フィルタは「(objectclass=*)」としてください。
「サーバタイプ」に「Active Directory」を指定した場合,ユーザ検索フィルタは「(objectclass=user)」としてください。
- 重要
-
「%s」は,本システムのログイン時に指定されたユーザIDの「@」よりも左側の部分です。このフィルタ式によってユーザエントリが複数特定される場合で,認証資格情報(パスワードなど)が同一のときは,ログインを許可しません。「ユーザID属性」には,一意にユーザエントリを特定することが可能な属性を指定してください。
-
-
[ディレクトリサーバ/認証方式]タブの設定をします。
表3‒34 [ディレクトリサーバ/認証方式]タブの設定項目 分類
項目
説明
ディレクトリサーバ設定
プロトコル
次のどちらかを選択します。
-
ldap:ディレクトリ・サーバとの通信に通常のLDAPを使用する場合に選択します。なお,通信情報は暗号化されないため,LAN環境以外での利用は推奨しません。
-
ldaps:ディレクトリ・サーバとの通信をSSLによって暗号化する場合に選択します。ディレクトリ・サーバによるLDAPSのサポートが必要となります。
初期値は「ldap」です。
ホスト名
ディレクトリ・サーバのホスト名を指定します。
ポート番号
ディレクトリ・サーバとの通信に使用するポート番号を指定します。入力を省略した場合は,デフォルトポート番号が設定されます。デフォルトポート番号を次に示します。
-
プロトコルに「ldap」を指定した場合:389
-
プロトコルに「ldaps」を指定した場合:636
[追加]ボタン
設定した内容でディレクトリ・サーバのURLが組み立てられ,ディレクトリ・サーバ一覧に追加されます。ただし,すでにディレクトリ・サーバが登録されている場合は,追加されません。登録できるディレクトリ・サーバは1つだけです。
認証設定
検索DN/ユーザID
ディレクトリ・サーバのDITを探索する際に使用するユーザのDN,またはユーザIDを指定します。
探索に使用するユーザは,DITを探索できる権限を持っている必要があります。[基本]タブの「サーバタイプ」に「LDAPv3(汎用)」を選択した場合は探索に使用するユーザのDNを,「Active Directory」を選択した場合は「ユーザID(sAMAccountName)」を指定します。Active Directoryの場合は一般に「Administrator」を指定します。
なお,ディレクトリ・サーバのDITを探索するユーザに適切な権限がない場合,ディレクトリ・サーバを使用した認証が正しく稼働せず,予期しない動作を引き起こすことがあります。
パスワード
[検索DN/ユーザID]に指定したユーザのパスワードを指定します。
確認入力
指定したパスワードを確認のために入力します。
-
-
[接続確認]ボタンをクリックして,設定したディレクトリ・サーバに接続できることを確認します。
-
[作成]ボタンをクリックします。認証システムが作成されて,[認証システム一覧]画面に表示されます。
(2) 認証システムを編集する
認証システムを編集する手順について説明します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます。
-
編集する認証システムのメニューアイコン()をクリックして,[編集]を選択します。
[LDAP認証システム編集]画面が表示されます。
-
設定を変更します。項目の内容については「3.5.6 (1) 認証システムを作成する」を参照してください。
-
[接続確認]ボタンをクリックして,変更した設定でディレクトリ・サーバに接続できることを確認します。
-
[更新]ボタンをクリックします。
認証システムの設定が更新され,登録完了を確認するダイアログが表示されます。
-
[OK]ボタンをクリックします。
[認証システム一覧]画面が表示されます。
(3) 認証システムを削除する
認証システムを削除する手順を次に示します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます
-
削除する認証システムのメニューアイコン()をクリックして,[削除]を選択します。
削除を確認するダイアログが表示されます。
-
[OK]ボタンをクリックします。
認証システムが削除され,[認証システム一覧]画面が表示されます。
- 重要
-
認証ポリシーで使用されている認証システムは,削除はできません。