Hitachi Command Suite システム構成ガイド

[目次][索引][前へ][次へ]

4.7.1 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目

exauth.propertiesファイルには,使用する外部認証サーバの種類やサーバ識別名,外部認証サーバのマシン情報などを設定します。

重要
  • プロパティの設定値は,大文字と小文字を区別してください。
  • 管理サーバとLDAPディレクトリサーバとの間の通信にStartTLSを使用する場合は,exauth.propertiesファイルに接続先のLDAPディレクトリサーバの情報を直接指定する必要があります。
  • DNSサーバに接続先のLDAPディレクトリサーバを照会する場合は,ユーザーがログインする際に処理に時間が掛かることがあります。
  • 接続先のLDAPディレクトリサーバがマルチドメイン構成の場合,DNSサーバにLDAPディレクトリサーバを照会できません。

表4-2 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)

プロパティ名 説明
auth.server.type 外部認証サーバの種類です。ldapを指定します。
デフォルト値:internal(外部認証サーバと連携しない場合)
auth.server.name LDAPディレクトリサーバのサーバ識別名を指定します。接続プロトコルやポート番号などの設定(「表4-3 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)」および「表4-5 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)」)をLDAPディレクトリサーバごとに区別するために付ける任意の名称です。初期値として「ServerName」が設定されています。必ず1つ以上のサーバ識別名を指定してください。サーバ識別名を複数指定する場合は,サーバ識別名をコンマ(,)で区切って指定しま す。同じサーバ識別名は重複して登録しないでください。
指定できる値:64バイト以内の次の文字列
09 AZ az ! # ( ) + - . = @ [ ] ^ _ { } ~
デフォルト値:なし
auth.ldap.multi_domain LDAPディレクトリサーバのサーバ識別名を複数指定する場合,各サーバがマルチドメイン構成であるか,冗長構成であるかを指定します。
マルチドメイン構成の場合はtrueを指定します。
冗長構成の場合はfalseを指定します。
デフォルト値:false
auth.group.mapping 外部認可サーバとも連携するかどうかを指定します。
連携する場合はtrueを指定します。
連携しない場合はfalseを指定します。
デフォルト値:false

表4-3 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)

属性 説明
protocol※1 LDAPディレクトリサーバ接続のプロトコルです。この項目は必須です。
平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。
tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
指定できる値:ldapまたはtls
デフォルト値:なし
host※2 LDAPディレクトリサーバのホスト名またはIPアドレスを指定します。ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスとIPv6アドレスの両方を使用できます。IPv6アドレスは必ず角括弧([ ])で囲んでください。この項目は必須です。
デフォルト値:なし
port LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389
timeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15
attr 認証で使用するユーザーIDの値が定義されている属性名(Attribute Type)です。
  • 階層構造モデルの場合
    ユーザーを一意に特定できる値が格納されている属性名を指定します。この属性に格納された値をHitachi Command Suite製品のユーザーIDとして使用します。※3
    例えば,Active Directoryを使用している場合で,WindowsのログオンIDをユーザーIDとして使用したいときは,WindowsのログオンIDが値として定義されている属性名のsAMAccountNameを指定します。
  • フラットモデルの場合
    ユーザーエントリーのRDNの属性名を指定します。
    例えば,ユーザーのDNがuid=John,ou=People,dc=example,dc=comの場合,uid=Johnの属性名であるuidを指定します。
初期値としてsAMAccountNameが設定されています。この項目は必須です。
デフォルト値:なし
basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認証の対象となります。指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
  • 階層構造モデルの場合
    検索対象のユーザーエントリーをすべて含む階層のDNです。
  • フラットモデルの場合
    検索対象のユーザーエントリーより1つ上の階層のDNです。
この項目は必須です。DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
デフォルト値:なし
retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1
retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20
domain.name LDAPディレクトリサーバが管理する外部認可サーバ用のドメインの名称です。外部認可サーバとも連携する場合,この項目は必須です。
デフォルト値:なし
domain LDAPディレクトリサーバが管理するマルチドメイン構成用のドメインの名称です。
ログイン時に,この属性で指定したドメイン名をユーザーIDに含めると,指定したドメインに属するLDAPディレクトリサーバが認証先となります。
LDAPディレクトリサーバのサーバ識別名ごとにドメイン名を指定する際に,ドメイン名を重複しないように指定してください。大文字小文字は区別されません。
マルチドメイン構成の場合,この項目は必須です。
デフォルト値:なし
dns_lookup falseを指定します。
デフォルト値:false

各属性は,次のように指定します。
auth.ldap.auth.server.nameに指定した値.属性=

注※1
LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合には,Hitachi Command Suite共通コンポーネントのセキュリティ設定が必要です。

注※2
LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合は,host属性にはLDAPディレクトリサーバの証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。

注※3
Hitachi Command Suite製品のユーザーIDとして使用できない文字列が値に含まれていない属性を指定してください。

表4-4 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバとStartTLSで通信するとき)

プロパティ名 説明
auth.ocsp.enable LDAPディレクトリサーバとStartTLSで通信する場合に,OCSPレスポンダーを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。
検証する場合はtrueを,検証しない場合はfalseを指定します。
デフォルト値:false
auth.ocsp.responderURL 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。
デフォルト値:なし

表4-5 LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)

属性 説明
protocol LDAPディレクトリサーバ接続のプロトコルです。この項目は必須です。
指定できる値:ldap
デフォルト値:なし
port LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389
timeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15
attr 認証で使用するユーザーIDの値が定義されている属性名(Attribute Type)です。
  • 階層構造モデルの場合
    ユーザーを一意に特定できる値が格納されている属性名を指定します。この属性に格納された値をHitachi Command Suite製品のユーザーIDとして使用します。
    例えば,Active Directoryを使用している場合で,WindowsのログオンIDをユーザーIDとして使用したいときは,WindowsのログオンIDが値として定義されている属性名のsAMAccountNameを指定します。
  • フラットモデルの場合
    ユーザーエントリーのRDNの属性名を指定します。
    例えば,ユーザーのDNがuid=John,ou=People,dc=example,dc=comの場合,uid=Johnの属性名であるuidを指定します。
初期値としてsAMAccountNameが設定されています。この項目は必須です。
デフォルト値:なし
basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認証の対象となります。指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
  • 階層構造モデルの場合
    検索対象のユーザーエントリーをすべて含む階層のDNです。
  • フラットモデルの場合
    検索対象のユーザーエントリーより1つ上の階層のDNです。
この項目は必須です。DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
デフォルト値:なし
retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1
retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20
domain.name LDAPディレクトリサーバが管理する外部認可サーバ用のドメインの名称です。この項目は必須です。
デフォルト値:なし
dns_lookup trueを指定します。
ただし,次の属性に値が設定されている場合は,DNSサーバには照会されず,ユーザーが指定した値を使用してLDAPディレクトリサーバに接続されます。
  • auth.ldap.auth.server.nameに指定した値.host
  • auth.ldap.auth.server.nameに指定した値.port
デフォルト値:false

各属性は,次のように指定します。
auth.ldap.auth.server.nameに指定した値.属性=

注※
Hitachi Command Suite製品のユーザーIDとして使用できない文字列が値に含まれていない属性を指定してください。

[目次] [前へ] [次へ]

[マニュアル発行元]

All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.