3.5.6 認証システム設定
認証システムを設定する操作について説明します。
(1) 認証システムを作成する
認証システムを作成する手順について説明します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます。
-
[認証システム作成]ボタンをクリックします。
[新規LDAP認証システム]画面が表示されます。
![[図データ]](GRAPHICS/ZU03F100.GIF)
-
[基本]タブの設定をします。
サーバタイプに「LDAPv3」を指定した場合
![[図データ]](GRAPHICS/ZU03F200.GIF)
サーバタイプに「Active Directory」を指定した場合
![[図データ]](GRAPHICS/ZU03F300.GIF)
次の項目を指定します。
表3‒34 [基本]タブの設定項目 項目
説明
認証システム名(日本語)※1
認証システム名として,識別可能な任意の文字列を入力します。
ここで入力した値は,日本語と中国語の画面で表示されます。
-
入力できる文字数は256文字以内です。
認証システム名(英語)※1
認証システム名として,識別可能な任意の文字列を入力します。
ここで入力した値は,英語の画面で表示されます。
-
256文字までの半角英数字と記号を入力できます。
サーバタイプ
使用するディレクトリ・サーバの種類を選択します。
-
LDAPv3(汎用):Active Directory以外のLDAPv3互換ディレクトリ・サーバ
-
Active Directory:Active Directoryサーバ
初期値は「LDAPv3(汎用)」です。
サーバタイプを変更すると,「認証システム名(日本語/中国語)」,「認証システム名(英語)」,「サーバタイプ」以外の項目の設定値は,リセットされて初期値に戻ります。
変更の際には,変更を確認するダイアログが表示されます。[OK]ボタンをクリックすると,サーバタイプの変更が反映されます。
基本DN※2
ディレクトリ・サーバのDITで,ユーザ探索の基点とするDNを指定します。一般的にはルートとなるDNを指定しますが,探索範囲を制限したい場合は,探索する範囲の基点とするDNを指定します。
「サーバタイプ」が「Active Directory」の場合,ディレクトリ・サーバ上のドメインを表すDNを指定することはできません。OUまたはCNを含むDNを指定してください。
ドメイン名
「サーバタイプ」が「Active Directory」の場合に,Active Directoryのドメイン名(ドット区切り)を指定します。
ユーザID属性
DIT上のユーザエントリで,ユーザIDを保持する属性を指定します。
「サーバタイプ」に「LDAPv3(汎用)」を指定した場合,初期値は「uid」です。ご利用のシステム設計に合わせて変更してください。
「サーバタイプ」に「Active Directory」を指定した場合,ユーザID属性は「sAMAccountName」としてください。
ユーザ検索フィルタ
ディレクトリ・サーバのDITで,ユーザを探索する際の条件を指定します。
「サーバタイプ」に「LDAPv3(汎用)」を指定した場合,ユーザ検索フィルタは「(objectclass=*)」としてください。
「サーバタイプ」に「Active Directory」を指定した場合,ユーザ検索フィルタは「(objectclass=user)」としてください。
注※1
-
記号(/ \ ? * : | " < > @ ^)は使用できません。
-
空白だけ,ピリオド(.)だけは使用できません。
注※2
-
次に示すLDAPの特殊文字を使用する場合は,エスケープ処理が必要となります。
,(カンマ),+(プラス),=(イコール),"(ダブルクォーテーション),\(エンマーク),<(小なり),>(大なり),;(セミコロン),#(シャープ)(DNの先頭文字に指定する場合だけ),/(スラッシュ)
-
Active Directoryの場合は,\\を記号の前に付加してください。例えば,#の場合は\\#と記述します。ただし,\の場合は\\\\,/の場合は\/と記述してください。
-
OpenLdapの場合は,\を記号の前に付加してください。例えば,#の場合は\#,\の場合は\\と記述します。
-
「ユーザID属性」および「ユーザ検索フィルタ」から構成される検索フィルタ式によって,ユーザが特定されます。初期設定の場合,次に示すフィルタ式でディレクトリ・サーバを探索します。
・「サーバタイプ」が「LDAPv3」の場合:(&(uid=%s)(objectclass=*))
・「サーバタイプ」が「Active Directory」の場合:(&(sAMAccountName=%s)(objectclass=user))
- 重要
-
「%s」は,本システムのログイン時に指定されたユーザIDの「@」よりも左側の部分です。このフィルタ式によってユーザエントリが複数特定される場合で,認証資格情報(パスワードなど)が同一のときは,ログインを許可しません。「ユーザID属性」には,一意にユーザエントリを特定することが可能な属性を指定してください。
-
-
[ディレクトリサーバ/認証方式]タブの設定をします。
![[図データ]](GRAPHICS/ZU03F400.GIF)
表3‒35 [ディレクトリサーバ/認証方式]タブの設定項目 分類
項目
説明
ディレクトリサーバ設定
プロトコル
次のどちらかを選択します。
-
ldap:ディレクトリ・サーバとの通信に通常のLDAPを使用する場合に選択します。なお,通信情報は暗号化されないため,LAN環境以外での利用は推奨しません。
-
ldaps:ディレクトリ・サーバとの通信をSSLによって暗号化する場合に選択します。ディレクトリ・サーバによるLDAPSのサポートが必要となります。
初期値は「ldap」です。
ホスト名
ディレクトリ・サーバのホスト名を指定します。
ポート番号
ディレクトリ・サーバとの通信に使用するポート番号を指定します。入力を省略した場合は,デフォルトポート番号が設定されます。デフォルトポート番号を次に示します。
-
プロトコルに「ldap」を指定した場合:389
-
プロトコルに「ldaps」を指定した場合:636
[追加]ボタン
設定した内容でディレクトリ・サーバのURLが組み立てられ,ディレクトリ・サーバ一覧に追加されます。ただし,すでにディレクトリ・サーバが登録されている場合は,追加されません。登録できるディレクトリ・サーバは1つだけです。
認証設定
検索DN/ユーザID
ディレクトリ・サーバのDITを探索する際に使用するユーザのDN,またはユーザIDを指定します。
探索に使用するユーザは,DITを探索できる権限を持っている必要があります。[基本]タブの「サーバタイプ」に「LDAPv3(汎用)」を選択した場合は探索に使用するユーザのDNを,「Active Directory」を選択した場合は「ユーザID(sAMAccountName)」を指定します。Active Directoryの場合は一般に「Administrator」を指定します。
なお,ディレクトリ・サーバのDITを探索するユーザに適切な権限がない場合,ディレクトリ・サーバを使用した認証が正しく稼働せず,予期しない動作を引き起こすことがあります。
パスワード
[検索DN/ユーザID]に指定したユーザのパスワードを指定します。
確認入力
指定したパスワードを確認のために入力します。
-
-
[接続確認]ボタンをクリックして,設定したディレクトリ・サーバに接続できることを確認します。
-
[作成]ボタンをクリックします。認証システムが作成されて,[認証システム一覧]画面に表示されます。
(2) 認証システムを編集する
認証システムを編集する手順について説明します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます。
-
編集する認証システムのメニューアイコン(
![[図データ]](GRAPHICS/ZI033800.GIF)
)をクリックして,[編集]を選択します。
[LDAP認証システム編集]画面が表示されます。
-
設定を変更します。項目の内容については「3.5.6 (1) 認証システムを作成する」を参照してください。
-
[接続確認]ボタンをクリックして,変更した設定でディレクトリ・サーバに接続できることを確認します。
-
[更新]ボタンをクリックします。
認証システムの設定が更新され,登録完了を確認するダイアログが表示されます。
![[図データ]](GRAPHICS/ZU03F500.GIF)
-
[OK]ボタンをクリックします。
[認証システム一覧]画面が表示されます。
(3) 認証システムを削除する
認証システムを削除する手順を次に示します。
-
サイドバー領域の[認証システム設定]をクリックします。
コンテント領域に[認証システム一覧]画面が表示されます
-
削除する認証システムのメニューアイコン(
)をクリックして,[削除]を選択します。
削除を確認するダイアログが表示されます。
-
[OK]ボタンをクリックします。
認証システムが削除され,[認証システム一覧]画面が表示されます。
- 重要
-
認証ポリシーで使用されている認証システムは,削除はできません。