コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。LDAP用コンフィグファイルを作成する
認証サーバとしてLDAPサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=ldap auth.server.name=<サーバ識別名> auth.group.mapping=<値> auth.ldap.<サーバ識別名>.<属性>=<値>
例
auth.server.type=ldap auth.server.name=PrimaryServer auth.group.mapping=true auth.ldap.PrimaryServer.protocol=ldaps auth.ldap.PrimaryServer.host=ldaphost.domain.local auth.ldap.PrimaryServer.port=636 auth.ldap.PrimaryServer.timeout=3 auth.ldap.PrimaryServer.attr=sAMAccountName auth.ldap.PrimaryServer.searchdn=CN=sample1,CN=Users,DC=domain,DC=local auth.ldap.PrimaryServer.searchpw=passwordauth.ldap.PrimaryServer.basedn=CN=Users,DC=domain,DC=local auth.ldap.PrimaryServer.retry.interval=1 auth.ldap.PrimaryServer.retry.times=3 auth.ldap.PrimaryServer.domain.name=EXAMPLE.COM
LDAP用設定項目
|
属性 |
説明 |
省略可否 |
デフォルト値 |
|---|---|---|---|
|
auth.server.type |
認証サーバの種別。ldapを指定してください。 |
必須 |
なし |
|
auth.server.name |
認証サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。 次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~ これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。 |
必須 |
なし |
|
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
|
auth.ldap.<サーバ識別名>.protocol |
使用するLDAPプロトコル。
ただし、auth.ldap.<サーバ識別名>.dns_lookupにtrueを指定する場合は、ldapsを指定してださい。 |
必須 |
なし |
|
auth.ldap.<サーバ識別名>.host |
LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。プロトコルとしてStartTLSを使用する場合、ホスト名を指定します。 この値を設定した場合、auth.ldap.<サーバ識別名>.dns_lookupを設定しても無視されます。 |
省略可※1 |
なし |
|
auth.ldap.<サーバ識別名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※2 |
省略可 |
389 |
|
auth.ldap.<サーバ識別名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの秒数。1~30の範囲で指定します。※2 |
省略可 |
10 |
|
auth.ldap.<サーバ識別名>.attr |
ユーザを確定する属性名(ユーザIDなど)。
ユーザを特定できる値が格納されている属性名
ユーザエントリのRDNの属性名 Active DirectoryではsAMAccountNameが使用されます。 |
必須 |
なし |
|
auth.ldap.<サーバ識別名>.searchdn |
検索用ユーザのDN。省略した場合、[attr値]=[ログインID],[basedn値]で表されるDNにバインド認証します。※3 |
省略可 |
なし |
|
auth.ldap.<サーバ識別名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
|
auth.ldap.<サーバ識別名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。※3
すべての検索対象のユーザを含む階層のDN
検索対象のユーザより1つ上の階層のDN |
必須 |
なし |
|
auth.ldap.<サーバ識別名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※2 |
省略可 |
1 |
|
auth.ldap.<サーバ識別名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2 |
省略可 |
3 |
|
auth.ldap.<サーバ識別名>.domain.name |
LDAPサーバが管理するドメインの名称。 |
必須 |
なし |
|
auth.ldap.<サーバ識別名>.dns_lookup |
DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。
ただし、「host」および「port」が指定されている場合は、「true」を指定しても検索されません。 |
省略可 |
false |
注※1
「auth.ldap.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。
注※2
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
注※3
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、searchdnに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。
abc\+\+
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
「\」は、「\5c」と入力します。
「/」は、「\2f」と入力します。
「"」は、「\22」と入力します。
例えば、searchdnに指定した値が「abc\」の場合は、次のように入力してください。
abc\5c