6.11.1 情報検索用のユーザーアカウントの条件
LDAPディレクトリサーバの接続を設定するためには,LDAP情報の検索のためのユーザーアカウントをLDAPディレクトリサーバに用意しておく必要があります。
ユーザーアカウントの条件を示します。条件に記載している「DN」は,認証方式によって指定するプロパティが異なります。
- 認証方式がLDAPの場合
- exauth.propertiesファイルのauth.ldap.<auth.server.nameの指定値>.basednで指定したDN
- 認証方式がKerberosの場合
- exauth.propertiesファイルのauth.group.<レルム名>.basednで指定したDN
LDAP情報を検索するためのユーザーアカウントは,次の条件をすべて満たしている必要があります。
- DNにバインドできる
- DNに参照できる
- DN以下のすべてのエントリーに対して属性を検索できる
- DN下にある認可グループを参照できる(外部認可サーバとも連携するとき)
- DN下にある認可グループの属性と,認可グループのネストグループの属性を検索できる(外部認可サーバとも連携するとき)
重要- LDAPディレクトリサーバではDNやパスワードに引用符(")を使用できますが,管理サーバに登録するユーザーアカウントのDNおよびパスワードには引用符(")を使用しないでください。
参考- Active Directoryを使用している場合,Active Directoryが提供するdsqueryコマンドでユーザーのDNを確認できます。
- ユーザーを「administrator」とした場合,次のコマンドを実行してDNを確認します。
dsquery user -name administrator
関連項目