3.5.6 認証サーバおよび認可サーバと接続するよう設定する
背景
認証サーバおよび認可サーバを使用するには、サーバへの接続設定やネットワークの設定が必要です。特にサーバへの接続設定には、利用する認証サーバと認可サーバの詳細な設定情報が必要です。サーバへの接続設定に使用するLDAP、RADIUS、およびKerberos用の設定値は各サーバの管理者にお問い合わせください。ネットワークの設定に関してはネットワークの管理者にお問い合わせください。
認証サーバおよび認可サーバに接続するための設定方法について説明します。
前提条件
-
LDAPを使用する場合はLDAPサーバのサーバ証明書が必要です。証明書については、各サーバの管理者にお問い合わせください。
操作手順
-
コンフィグファイルを作成します。使用するプロトコルによって設定する項目が異なります。
-
SVPへログインし、次のファイルを参照可能な場所に格納します。
-
証明書(セキュア通信する場合)
-
コンフィグファイル
-
-
SVPでWindowsのコマンドプロンプトを起動します。
-
カレントディレクトリをMappSetExAuthConf.batがあるディレクトリ(例:C:\MAPP\wk\Supervisor\MappIniSet)に移動し、次に示すコマンドにコンフィグファイルパス(例C:\auth\auth.properties)と証明書ファイルパス(例:C:\auth\auth.cer)を指定して実行します。
C:\MAPP\wk\Supervisor\MappIniSet>MappSetExAuthConf "C:\auth\auth.properties" "C:\auth\auth.cer"
-
認証サーバが使用できることを確認したら、認証サーバへの接続設定をバックアップしてください。
-
操作手順4.で指定したファイルを削除するためのメッセージが表示されます。
Do you want to delete files("C:\auth\auth.properties" "C:\auth\auth.cer")?
削除する場合は"y"を指定してください。"n"を指定すると、ファイルは削除されません。手動で削除してください。
設定をしたにも関わらず、認証サーバおよび認可サーバが使用できない場合は、サーバへの接続設定の内容やネットワークに問題があるおそれがあります。サーバの管理者およびネットワークの管理者にお問い合わせください。
設定完了後、認証サーバおよび認可サーバが使用できることを確認したら、認証サーバへの接続設定をバックアップしてください。
(1) LDAP用コンフィグファイルを作成する
認証サーバとしてLDAPサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。
- 注意
-
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=ldap auth.server.name=<サーバ識別名> auth.group.mapping=<値> auth.ldap.<サーバ識別名>.<属性>=<値>
例
auth.server.type=ldap auth.server.name=PrimaryServer auth.group.mapping=true auth.ldap.PrimaryServer.protocol=ldaps auth.ldap.PrimaryServer.host=ldaphost.domain.local auth.ldap.PrimaryServer.port=636 auth.ldap.PrimaryServer.timeout=3 auth.ldap.PrimaryServer.attr=sAMAccountName auth.ldap.PrimaryServer.searchdn=CN=sample1,CN=Users,DC=domain,DC=local auth.ldap.PrimaryServer.searchpw=password auth.ldap.PrimaryServer.basedn=CN=Users,DC=domain,DC=local auth.ldap.PrimaryServer.retry.interval=1 auth.ldap.PrimaryServer.retry.times=3 auth.ldap.PrimaryServer.domain.name=EXAMPLE.COM
LDAP用設定項目
属性 |
説明 |
省略可否 |
デフォルト値 |
---|---|---|---|
auth.server.type |
認証サーバの種別。ldapを指定してください。 |
必須 |
なし |
auth.server.name |
認証サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。 次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~ これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。 |
必須 |
なし |
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
auth.ldap.<サーバ識別名>.protocol |
使用するLDAPプロトコル。 "ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。 "starttls"(StartTLSを用いた認証)は、指定しないでください。 |
必須 |
なし |
auth.ldap.<サーバ識別名>.host |
LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。プロトコルとしてStartTLSを使用する場合、ホスト名を指定します。 この値を設定した場合、auth.ldap.<サーバ識別名>.dns_lookupを設定しても無視されます。 |
省略可※1 |
なし |
auth.ldap.<サーバ識別名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※2 |
省略可 |
389 |
auth.ldap.<サーバ識別名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの秒数。1~30の範囲で指定します。※2 |
省略可 |
10 |
auth.ldap.<サーバ識別名>.attr |
ユーザを確定する属性名(ユーザIDなど)。
Active DirectoryではsAMAccountNameが使用されます。 |
必須 |
なし |
auth.ldap.<サーバ識別名>.searchdn |
検索用ユーザのDN。省略した場合、[attr値]=[ログインID],[basedn値]で表されるDNにバインド認証します。※3 |
省略可 |
なし |
auth.ldap.<サーバ識別名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
auth.ldap.<サーバ識別名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。※3
|
必須 |
なし |
auth.ldap.<サーバ識別名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※2 |
省略可 |
1 |
auth.ldap.<サーバ識別名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2 |
省略可 |
3 |
auth.ldap.<サーバ識別名>.domain.name |
LDAPサーバが管理するドメインの名称。 |
必須 |
なし |
auth.ldap.<サーバ識別名>.dns_lookup |
DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。 "false"(ホスト名やポート番号で検索する)を指定してください。 "true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。 |
省略可 |
false |
- 注※1
-
「auth.ldap.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。
- 注※2
-
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
- 注※3
-
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、basednまたはsearchdnに指定した値が「属性名=abc++,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力して「+」をエスケープしてください。
属性名=abc\+\+,属性名=bbbbb,属性名=ccccc
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
-
「\」は、「\5c」と入力します。
-
「/」は、「\2f」と入力します。
-
「"」は、「\22」と入力します。
例えば、basednまたはsearchdnに指定した値が「属性名=abc\,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力してください。
属性名=abc\5c,属性名=bbbbb,属性名=ccccc
-
(2) RADIUS用コンフィグファイルを作成する
認証サーバとしてRADIUSサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。
- 注意
-
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=radius auth.server.name=<サーバ識別名> auth.group.mapping=<値> auth.radius.<サーバ識別名>.<属性>=<値> auth.group.<ドメイン名>.<属性>=<値>
例
auth.server.type=radius auth.server.name=PrimaryServer auth.group.mapping=true auth.radius.PrimaryServer.protocol=PAP auth.radius.PrimaryServer.host=example.com auth.radius.PrimaryServer.port=1812 auth.radius.PrimaryServer.timeout=3 auth.radius.PrimaryServer.secret=secretword auth.radius.PrimaryServer.retry.times=3 auth.radius.PrimaryServer.domain.name=radius.example.com auth.group.radius.example.com.protocol=ldaps auth.group.radius.example.com.host=xxx.xxx.xxx.xxx auth.group.radius.example.com.port=636 auth.group.radius.example.com.searchdn=CN=sample1,CN=Users,DC=domain,DC=local auth.group.radius.example.com.searchpw=password auth.group.radius.example.com.basedn=CN=Users,DC=domain,DC=local
RADIUS用設定項目(認証サーバ分)
属性 |
説明 |
省略可否 |
デフォルト値 |
---|---|---|---|
auth.server.type |
認証サーバの種別。radiusを指定してください。 |
必須 |
なし |
auth.server.name |
サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。 次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~ これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。 |
必須 |
なし |
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
auth.radius.<サーバ識別名>.protocol |
使用するRADIUSプロトコル。
|
必須 |
なし |
auth.radius.<サーバ識別名>.host |
RADIUSサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。 |
必須※1 |
なし |
auth.radius.<サーバ識別名>.port |
RADIUSサーバのポート番号。1~65535の範囲で指定します。※2 |
省略可 |
1812 |
auth.radius.<サーバ識別名>.timeout |
RADIUSサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※2 |
省略可 |
10 |
auth.radius.<サーバ識別名>.secret |
PAPまたはCHAP認証で使用するRADIUSシークレット(共有鍵)。 |
必須 |
なし |
auth.radius.<サーバ識別名>.retry.times |
RADIUSサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2 |
省略可 |
3 |
auth.radius.<サーバ識別名>.attr.NAS-Identifier |
RADIUSサーバがSVPを識別するための識別子。ユーザのRADIUS環境でattr.NAS-Identifier属性を使用している場合に、この項目を定義してください。ASCIIコードを使用できます。253バイトまでで指定してください。 |
省略可 |
なし |
auth.radius.<サーバ識別名>.attr.NAS-IP-Address |
SVPのIPv4アドレス。NAS-IP-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。 |
省略可 |
なし |
auth.radius.<サーバ識別名>.attr.NAS-IPv6-Address |
SVPのIPv6アドレス。NAS-IPv6-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。 |
省略可 |
なし |
- 注※1
-
外部認可でDNS照会する場合、設定が不要になります。
- 注※2
-
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
RADIUS用設定項目(認可サーバ分)
属性 |
説明 |
省略可否 |
デフォルト値 |
---|---|---|---|
auth.radius.<サーバ識別名>.domain.name |
LDAPサーバが管理するドメインの名称。 これより以下の項目では、ここで設定した値を<ドメイン名>といいます。 |
必須 |
なし |
auth.radius.<サーバ識別名>.dns_lookup |
DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。 "false"(ホスト名やポート番号で検索する)を指定してください。 "true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。 |
省略可 |
false |
auth.group.<ドメイン名>.protocol |
使用するLDAPプロトコル。 "ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。 "starttls"(StartTLSを用いた認証)は、指定しないでください。 |
必須 |
なし |
auth.group.<ドメイン名>.host |
LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。 |
省略可※1 |
なし |
auth.group.<ドメイン名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※2 |
省略可 |
389 |
auth.group.<ドメイン名>.searchdn |
検索用ユーザのDN。※3 |
必須 |
なし |
auth.group.<ドメイン名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
auth.group.<ドメイン名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。※3 |
省略可 |
abbr |
auth.group.<ドメイン名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※2 |
省略可 |
10 |
auth.group.<ドメイン名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※2 |
省略可 |
1 |
auth.group.<ドメイン名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2 |
省略可 |
3 |
- 注※1
-
「auth.radius.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。
- 注※2
-
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
- 注※3
-
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、basednまたはsearchdnに指定した値が「属性名=abc++,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力して「+」をエスケープしてください。
属性名=abc\+\+,属性名=bbbbb,属性名=ccccc
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
-
「\」は、「\5c」と入力します。
-
「/」は、「\2f」と入力します。
-
「"」は、「\22」と入力します。
例えば、basednまたはsearchdnに指定した値が「属性名=abc\,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力してください。
属性名=abc\5c,属性名=bbbbb,属性名=ccccc
-
(3) Kerberos用コンフィグファイルを作成する
認証サーバとしてKerberosサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。
- 注意
-
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=kerberos auth.group.mapping=<値> auth.kerberos.<属性>=<値> auth.group.<レルム名>.<属性>=<値>
例
auth.server.type=kerberos auth.group.mapping=true auth.kerberos.default_realm=example.com auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockskew=300 auth.kerberos.timeout=10 auth.group.example.com.protocol=ldaps auth.group.example.com.port=636 auth.group.example.com.searchdn=CN=sample1,CN=Users,DC=domain,DC=local auth.group.example.com.searchpw=password auth.group.example.com.basedn=CN=Users,DC=domain,DC=local
Kerberos用設定項目(認証サーバ分)
属性 |
説明 |
省略可否 |
デフォルト値 |
---|---|---|---|
auth.server.type |
認証サーバの種別。kerberosを指定してください。 |
必須 |
なし |
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
auth.kerberos.default_realm |
デフォルトのレルム名。 |
必須 |
なし |
auth.kerberos.dns_lookup_kdc |
DNSサーバのSRVレコードに登録してある情報を使用してKerberosサーバを検索するかどうか。 "false"(ホスト名やポート番号で検索する)を指定してください。 "true"(DNSサーバのSRVレコードに登録してある情報で検索する)は、指定しないでください。 |
省略可 |
false |
auth.kerberos.clockskew |
SVPとKerberosサーバ間の時刻の差の許容範囲。 0~300の範囲で指定します。※1 |
省略可 |
300 |
auth.kerberos.timeout |
Kerberosサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※1 |
省略可 |
10 |
auth.kerberos.realm_name |
レルム識別名。レルムごとにKerberosサーバの情報を区別するための任意の名称。同じレルム名は重複登録はできません。複数登録する場合は、コンマ(,)で区切ってください。 これより以下の項目では、ここで設定した値を<レルム識別名>といいます。 |
省略可※2 |
なし |
auth.kerberos.<レルム識別名>.realm |
Kerberosサーバに設定してあるレルム名。 |
省略可※2 |
なし |
auth.kerberos.<レルム識別名>.kdc |
Kerberosサーバのホスト名またはIPv4アドレス、およびポート番号。 「<ホスト名またはIPアドレス>[:ポート番号]」の形式で指定してください。 |
省略可※2 |
なし |
- 注※1
-
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
- 注※2
-
「auth.kerberos.dns_lookup_kdc」で「true」を指定した場合に省略できます。
Kerberos用設定項目(認可サーバ分)
属性 |
説明 |
省略可否 |
デフォルト値 |
---|---|---|---|
auth.group.<レルム識別名>.protocol |
使用するLDAPプロトコル。 "ldaps"(LDAP over SSL/TLSを用いた認証)を指定してください。 "starttls"(StartTLSを用いた認証)は、指定しないでください。 |
必須 |
なし |
auth.group.<レルム識別名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※1 |
省略可 |
389 |
auth.group.<レルム識別名>.searchdn |
検索用ユーザのDN。※2 |
必須 |
なし |
auth.group.<レルム識別名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
auth.group.<レルム識別名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※1 |
省略可 |
10 |
auth.group.<レルム識別名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※1 |
省略可 |
1 |
auth.group.<レルム識別名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※1 |
省略可 |
3 |
auth.group.<レルム識別名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。※2 |
省略可 |
abbr |
- 注※1
-
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
- 注※2
-
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、basednまたはsearchdnに指定した値が「属性名=abc++,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力して「+」をエスケープしてください。
属性名=abc\+\+,属性名=bbbbb,属性名=ccccc
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
-
「\」は、「\5c」と入力します。
-
「/」は、「\2f」と入力します。
-
「"」は、「\22」と入力します。
例えば、basednまたはsearchdnに指定した値が「属性名=abc\,属性名=bbbbb,属性名=ccccc」の場合は、次のように入力してください。
属性名=abc\5c,属性名=bbbbb,属性名=ccccc
-