ディレクトリサーバ連携定義ファイル(Windows限定)
形式
[JP1_DEFAULT\JP1BASE\DIRSRV] "ENABLE"=dword:{00000000 | 00000001 | 00000002} "SERVER"=ディレクトリサーバ名またはドメイン名 "PORT"=接続先ポート番号 "SEARCH_USER_DN"=情報検索用ユーザー識別名 "BASE_DN"=コンテナオブジェクト識別名※ "ATTR_NAME"=相対識別名または属性名 "SSL"=dword:{00000000 | 00000001} "AREC_EXCLUSIVE"=dword:{00000000 | 00000001} |
- 注※
-
BASE_DNパラメーターは,連携ユーザーを使用する運用の場合だけ指定できます。
パラメーターの分類
- 必須パラメーター
-
なし
- 選択パラメーター
-
-
ENABLE
-
SERVER
-
SEARCH_USER_DN
-
BASE_DN
-
ATTR_NAME
-
SSL
-
格納先ディレクトリ
インストール先フォルダ\conf\ds\
共有フォルダ\jp1base\conf\ds\(クラスタ運用時)
説明
ディレクトリサーバと連携してユーザー認証をするため,認証サーバで共通定義情報を設定しておくファイルです。セカンダリー認証サーバを設置している場合は,プライマリー認証サーバおよびセカンダリー認証サーバの両方に設定してください。
定義の反映時期
jbssetcnfコマンドを実行すると,ディレクトリサーバ連携定義ファイル(jp1bs_ds_setup.conf)の設定が共通定義情報に反映されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。
定義内容が有効になる契機を次に示します。
-
連携ユーザーを使用する運用の場合
ログイン認証時に有効になります。
-
DSユーザーを使用する運用の場合
JP1/Base(認証サーバ)の起動時に有効になります。JP1/Base起動後にディレクトリサーバ連携定義を変更した場合は,JP1/Baseの再起動またはリロードコマンド(jbs_spmd_reload)の実行が必要です。
記述内容
ディレクトリサーバ連携定義ファイル(jp1bs_ds_setup.conf)には,次のパラメーターを定義します。
- ENABLE(省略できる)
-
ディレクトリサーバと連携するかどうかを指定します。ディレクトリサーバと連携しない場合は,00000000を指定します。連携ユーザーを使用してディレクトリサーバと連携する場合は,00000001を指定します。DSユーザーを使用してディレクトリサーバと連携する場合は,00000002を指定します。共通定義情報に設定していない場合は,00000000が仮定されます。
- SERVER
-
連携ユーザーを使用してディレクトリサーバと連携する場合は,ディレクトリサーバ名またはドメイン名を指定します。
DSユーザーを使用してディレクトリサーバと連携する場合は,ドメイン名を指定します。
連携するディレクトリサーバまたはドメイン名の名前解決は,jp1hosts情報およびjp1hosts2情報ではできません。そのため,連携するディレクトリサーバまたはドメイン名は,OSのhostsファイルなどで名前解決できるように設定してください。
SSLを使用する場合はFQDN形式で指定してください。指定できる文字数は,1〜255(バイト)です。
- メモ
-
このパラメータにドメインコントーラーのホスト名は一つしか定義できません。
ただし,ドメイン配下に複数台のドメインコントローラーがある場合,このパラメータにドメイン名を指定することで複数台のドメインコントローラーを参照することができます。
- PORT(省略できる)
-
通常時に使用するディレクトリサーバの接続先ポート番号を16進数で指定します。指定できる範囲は,00000001〜0000ffffです。
共通定義情報に設定していない場合,次のポート番号が仮定されます。
-
SSLを使用しないとき:389(00000185)
-
SSLを使用するとき:636(0000027C)
-
- SEARCH_USER_DN
-
ディレクトリサーバにアクセスする情報検索用ユーザーの識別名を指定します。指定できる文字数は,1〜4,095(バイト)です。連携ユーザーを使用する運用の場合,情報検索用ユーザーは,検索起点となるコンテナオブジェクトおよびその配下のコンテナオブジェクトに対して,参照権限があるディレクトリサーバのユーザーになります。DSユーザーを使用する運用の場合はユーザーまたはグループのJP1 操作権限へ書き込み権限があるユーザーを指定してください。このパラメーターを無効にする場合は,"SEARCH_USER_DN"=""と定義してください。
連携ユーザーを使用する運用でディレクトリサーバ連携拡張機能を使用する場合,またはDSユーザーを使用する運用の場合,このパラメーターを必ず定義してください。
- BASE_DN
-
このパラメーターは,連携ユーザーを使用する運用の場合だけ有効です。
JP1ユーザーが存在するコンテナオブジェクトの識別名を指定します。指定できる文字数は,1〜4,095(バイト)です。
SEARCH_USER_DNパラメーターを指定した場合,このパラメーターで指定したコンテナオブジェクト配下のJP1ユーザーと連携できるようになります。
- ATTR_NAME
-
JP1ユーザー名およびDSグループ名として使用する相対識別名の属性名を指定します。指定できる文字数は,1〜255(バイト)です。
SEARCH_USER_DNパラメーターを指定した場合,JP1ユーザー名として使用する属性名を,次の属性から指定できるようになります。ただし,UserPrincipalNameを指定した場合,DSグループ名にはsAMAccountNameが仮定されますので,ドメイン内で区別できる一意となる名称を設定してください。
-
CN
-
sAMAccountName
-
UserPrincipalName
- CNを使用する場合の注意事項
-
ディレクトリサーバ連携拡張機能を使用する場合,BASE_DNパラメーターに指定したコンテナオブジェクト配下のOSユーザー(JP1ユーザーと連携するOSユーザー)のCN属性値は,一意になるように設定してください。
-
- SSL(省略できる)
-
SSLを使用するかどうかを指定します。SSLを使用しない場合は,00000000を指定します。SSLを使用する場合は,00000001を指定します。共通定義情報に設定していない場合は,00000001が仮定されます。
- AREC_EXCLUSIVE(省略できる)
-
連携ユーザーを使用する運用の場合,SERVERパラメーターに指定したディレクトリサーバへの接続動作を指定します。接続時に通常の名前解決を行う場合は,00000000を指定します。名前解決を簡略する場合は,00000001を指定します。共通定義情報に設定していない場合は,00000000が仮定されます。ディレクトリサーバの名前解決に時間がかかる場合には,00000001を指定します。
注意事項
論理ホスト上で設定する場合は,実行系および待機系の両方で設定します。その際,[JP1_DEFAULT\JP1BASE]のJP1_DEFAULTを論理ホスト名に変更してください。
定義例
次に示すディレクトリサーバの構成で,ディレクトリサーバと連携してユーザー認証する場合の定義例を示します。
|
[JP1_DEFAULT\JP1BASE\DIRSRV] "ENABLE"=dword:00000001 "SERVER"="host-A.domain.local" "PORT"=dword:0000027C "SEARCH_USER_DN"="CN=Groupcsearcher,OU=GroupC,DC=domain,DC=local" "BASE_DN"="OU=JP1,DC=domain,DC=local" "ATTR_NAME"="CN" "SSL"=dword:00000001
|
[JP1_DEFAULT\JP1BASE\DIRSRV] "ENABLE"=dword:00000001 "SERVER"="host-A.domain.local" "PORT"=dword:0000027C "SEARCH_USER_DN"="CN=Groupcsearcher,OU=GroupC,DC=domain,DC=local" "BASE_DN"="OU=GroupC,DC=domain,DC=local" "ATTR_NAME"="sAMAccountName" "SSL"=dword:00000001