3.2.4 LDAP検索用情報を登録する
Active Directory連携ではDNが必要な簡易認証を使用します。また,Active Directoryでユーザー情報を検索するために,LDAP検索用情報が必要です。
なお,LDAP検索用情報は,次の情報のことです。
外部認証サーバ連携コンフィグファイルに設定した情報
LDAP検索用ユーザー
JP1/AOにログインするユーザー情報が,DIT(Directory Information Tree)構造として1つのDNの直下に列挙されているかどうかで,登録するLDAP検索用情報が異なります。そのため,DIT構造を確認してから,LDAP検索用情報を登録します。ただし,グループ連携する場合は,DIT の構造によらず,LDAP 検索用ユーザーの登録が必要です。
DITの構造を確認して必要な作業を決定する
JP1/AOとActive Directory連携するすべてのユーザーのユーザーエントリーが,特定のDNの直下に列挙されているDITの構造では,LDAP検索用ユーザーの登録は不要です。
次にLDAP検索用ユーザーの登録が不要なDITツリー構造の例を示します。
図3‒1 DITツリー構造の例(LDAP検索用ユーザーの登録が不要な場合) この例ではすべてのユーザーエントリーが,1つのDN「cn=Users,dc=example,dc=com」の直下に列挙されているので,LDAP検索用ユーザーの登録は不要です。LDAP検索用ユーザーの登録が不要の場合,2.の手順を実行します。
ただし,この例の条件を満たしたときでも例外として,同じユーザーでユーザーエントリーのRDNの属性値とJP1/AOのユーザーIDが一致しないことがある場合は,LDAP検索用ユーザーの登録が必要になります。この場合,3.の手順を実行します。
JP1/AO とActive Directory 連携するユーザーのユーザーエントリーが,Active Directory で複数のDN の下に列挙されているDIT の構造では,LDAP 検索用ユーザーの登録が必要です。
Windows環境において,検索ユーザーDNに日本語は利用できません。
次にLDAP 検索用ユーザーの登録が必要なDIT ツリー構造の例を示します
図3‒2 DITツリー構造の例(LDAP検索用ユーザーの登録が必要な場合) この例ではユーザーエントリーが2つのDN「ou=Tokyo,dc=example,dc=com」および「ou=Osaka,dc=example,dc=com」の下に列挙されているので,LDAP検索用ユーザーの登録が必要になります。
LDAP検索用ユーザーの登録が必要な場合,3.の手順を実行します。
LDAP検索用ユーザー登録が不要な場合の作業を実行する
次の表に従って,外部認証サーバ連携コンフィグファイルに情報を登録します。
表3‒6 外部認証サーバ連携コンフィグファイルの設定(LDAP検索用ユーザーの登録が不要の場合) キー名
設定内容
auth.ldap.サーバ識別名※.attr
ユーザーエントリーのRDNの属性名
auth.ldap.サーバ識別名※.basedn
ユーザーエントリーの1つ上のDN
注※ キー名 auth.server.nameで定義した設定内容を登録する。
LDAP検索用ユーザーの登録が必要な場合の作業を実行する
hcmds64ldapuserコマンドを使用してLDAP検索用ユーザーを登録します。
次の表に従って,外部認証サーバ連携コンフィグファイルに情報を登録します。
表3‒7 外部認証サーバ連携コンフィグファイルの設定(LDAP検索用ユーザーの登録が必要な場合) キー名
設定内容
auth.ldap.サーバ識別名※.attr
ユーザーIDを持つ属性名
auth.ldap.サーバ識別名※.basedn
検索起点とするDN
注※ キー名 auth.server.nameで定義した設定内容を登録する。